Plan för framtidens Stockholm: Bostäder, skolor, trygghet och klimat

[Tjänsteutlåtande Budget och verksamhetsplan 2026 för moderbolaget Stockholms Stadshus AB.pdf] Tjänsteutlåtande Koncernstyrelsen 2026-02-16 Dnr SSAB 2025/212 Sid. 1 (2) 2026-02-02 Handläggare Till Magnus Thulin, 08-50829938 Koncernstyrelsen Budget och verksamhetsplan 2026 för moderbolaget Stockholms Stadshus AB dKdown cernledningens förslag till beslut Koncernstyrelsen beslutar följande. 1. Förslag till budget och ägardirektiv 2026 för moderbolaget Stockholms Stadshus AB, bilaga 1 till tjänsteutlåtandet, godkänns. 2. Resultatkravet på moderbolaget Stockholms Stadshus AB fastställs. 3. System för intern kontroll, väsentlighets- och riskanalys samt internkontrollplan 2026 för moderbolaget Stockholms Stadshus AB, bilaga 2 till tjänsteutlåtandet, godkänns. Ärendet I enlighet med stadens regler för ekonomisk förvaltning upprättas årligen en verksamhetsplan för det kommande året med utgångspunkt i kommunfullmäktiges budget. Moderbolagets verksamhetsplan har tidigare ingått i koncernens övergripande verksamhetsplan, men kommer från och med 2026 framläggas som ett fristående ärende. Styrelsen föreläggs förslag till verksamhetsplan och budget för 2026 med tillhörande bilagor. Budget och verksamhetsplan för 2026 I bilagt förslag till budget och verksamhetsplan för 2026 presenteras bolagets planerade arbete under året som ska bidra till uppfyllelse av målen i kommunfullmäktiges budget 2026. Se bilaga 1. System för intern kontroll, väsentlighets- och riskanalys samt internkontrollplan Under 2025 har arbetet med internkontroll utvecklats av stadsledningskontoret i samverkan med Stockholms Stadshus AB och nya tillämpningsanvisningar tagits fram för bolagen. Internkontrollplanen är framtagen utifrån dessa tillämpningsanvisningar. Väsentlighets- och riskanalysen utgör grunden för arbetet med intern kontroll. Analysen används för att identifiera samt ge underlag för att hantera och förebygga risker. Stockholms Stadshus AB Org.nr 556415-1727 Postadress Besöksadress Telefon E-post 105 35 STOCKHOLM Stadshuset, 3 tr. 08-508 290 00 info@stadshusab.se Sid. 2 (2) Beskrivning av risker kopplade till processer och delprocesser samt bedömd risknivå återfinns i bilaga 2. Utifrån väsentlighets- och riskanalysen har bolaget valt delprocesser som ska ingå i internkontrollplanen och granskas särskilt under verksamhetsåret för att verifiera att mål uppnås samt att riktlinjer följs och kontroller eller aktiviteter genomförs. Bolaget har även föreslagit ett antal direktåtgärder som framgår i väsentlighets- och riskanalysen, se bilaga 2. Ledningens genomgång Samtliga bolag ska i enlighet med stadens anvisningar för nämndernas arbete med verksamhetsplan 2026 ta fram ”Ledningens genomgång” med en planering för informationssäkerhetsarbetet under de kommande tre åren. Dokumentet har reviderats inför årets beslut om budget och verksamhetsplan för 2026 och biläggs detta ärende, se bilaga 3. Fredrik Jurdell Anette Scheibe Lorentzi VD Vice VD Bilagor 1. Budget och verksamhetsplan 2026 (ILS rapport) 2. Väsentlighets- och riskanalys samt internkontrollplan 3. Ledningens genomgång Attesterat av Detta dokument har godkänts digitalt av följande personer: Namn Datum Fredrik Jurdell, Vd 2026-02-06 Anette Scheibe Lorentzi, Vice vd 2026-02-06 --- [Bilaga 1 Stockholms Stadshus ABs budget och verksamhetsplan 2026 (ILS rapport).pdf] Bilaga 1 Sid. 1 (14) 2026-02-06 Verksamhetsplan 2026 Moderbolaget Stockholms Stadshus AB Stockholms Stadshus AB Org.nr 556415-1727 Postadress Besöksadress Telefon Fax E-post 105 35 STOCKHOLM Stadshuset, 3 tr. 08-508 290 00 08-509 290 80 info@stadshusab.se Sid. 2 (14) Innehållsförteckning Sammanfattning ...........................................................................................................................................3 Ekonomisk analys ........................................................................................................................................4 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden .....................4 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning .................................4 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla ............................................................................................................................................................7 Övrigt ..........................................................................................................................................................14 Systematiskt kvalitetsarbete ................................................................................................................14 CSRD .....................................................................................................................................................14 En sammanhållen stad - lokala utvecklingsbehov .............................................................................14 Informationssäkerhet - ledningens genomgång .................................................................................14 Sid. 3 (14) Sammanfattning Under de kommande åren utgörs bolagskoncernens investeringar främst av omfattande investeringar i infrastruktur för vatten och avlopp, där flera system närmar sig slutet av sin tekniska livslängd, samt upprustning och nyproduktion av bostäder och skolor och vård- och omsorgsboenden. Bolagens planerade klimatinvesteringar och det fortsatta arbetet med trygghetssatsningar utgör en viktig del för att Stockholm ska fortsätta utvecklas hållbart. Flera av koncernens bolag är tillsammans med stadens förvaltningar och andra aktörer delaktiga i arbetet med stadens fokusområden. Moderbolaget är representerad i områdenas styrgrupper och arbetsgrupper, och fortsätter bidra till arbetet med att utveckla en enhetlig och effektiv kommunikation från nämnder och bolag som aktivt bidrar till stadens arbete med fokusområdena, i linje med tidigare budgetuppdrag. Beslutade investeringsvolymer kräver noggrann styrning och uppföljning. En nära och god samverkan mellan stadens bolag och förvaltningar är en förutsättning för att göra rätt prioriteringar. Som en del i det viktiga arbetet att nå effektivitet ur ett koncernövergripande perspektiv krävs ett fortsatt arbete med styrning och samspel mellan bolag och förvaltningar. En väl fungerande samverkan är en förutsättning för att säkra en effektiv organisation och hög måluppfyllelse samtidigt som en väl avvägd bedömning och prioritering av investeringar i tid och omfattning kan göras. Möjliga synergieffekter mellan projekt ska omhändertas utifrån ett koncernövergripande perspektiv och det stadsövergripande driftskostnadsperspektivet ska alltid beaktas. I det förändrade ekonomiska läge som råder sedan några år är också den stadsövergripande utvecklingen av den finansiella skulden något som såväl varje enskilt bolag som hela koncernen behöver beakta inför varje investeringsbeslut. Moderbolaget kommer fortsätta vara en aktiv och ledande part i detta viktiga och prioriterade uppdrag. Stockholms stad ska senast år 2040 vara helt fossilbränslefri och stadens egen organisation likaså senast år 2030. Klimatbudgeten och arbetet enligt klimathandlingsplanen är viktiga verktyg för att uppnå detta. Moderbolaget kommer fortsätta samverka med stadsledningskontoret kring hur styrning och ledning av kommunikations- och dialogarbetet kan utvecklas i syfte att stärka stadens förmåga att verka i linje med miljöprogrammets mål och intentioner. Detta arbete har konkretiserats i form av en stadsövergripande kommunikationsstrategi som kompletteras av en kommunikationsplan med ett antal prioriterade aktiviteter. Moderbolaget med sina 16 dotterbolag omfattas av kravet att rapportera i enlighet med Corporate Sustainability Reporting Directive (CSRD) verksamhetsår 2027. EU:s Omnibus paket har skapat nya förutsättningar och inkluderar förenklingar i European Sustainability Reporting Standards (ESRS) och i EU-taxonomin. Utifrån Omnibus paketet anpassar moderbolaget aktiviteter 2026 för att skapa bästa, möjliga förutsättningar att rapportera. I arbetet att nå ett klimatpositivt Stockholm 2030 kommer särskilda insatser genomföras för att möjliggöra genomförande av Stockholm Exergis anläggning för BECCS. Berörda bolag och nämnder ska intensifiera arbetet för att säkerställa möjligheten till förverkligandet av BECCS. BECCS – Bio Energy Carbon Capture and Storage – innebär att koldioxiden efter förbränning av biobränslen fångas in ur rökgaserna, komprimeras till flytande form samt transporteras till permanent lagringsplats där det lagras i underjordiska bergsformationer. Anläggningen ska vid sitt färdigställande årligen fånga in upp till 800 000 ton koldioxid för permanent lagring och kommer att vara en av världens första i sitt slag. Stadens trygghetsarbete ska stärkas ytterligare och alla ska kunna känna sig trygga överallt. Den upplevda tryggheten ska öka samtidigt som staden försvårar och förhindrar att faktiska brott sker i det offentliga rummet. Trygghetsinvesteringar i den offentliga miljön ska fortsätta. Stadens trygghetsprogram tydliggör fokusområden och inriktning samt ansvarsfördelningen inom området för stadens nämnder och bolag. Bolaget följer tillsammans med stadsledningskontoret dotterbolagens arbete med att förebygga och motverka välfärdsbrottslighet och närliggande områden, exempelvis brott och fusk med föreningsstöd samt avfallsbrottslighet. Sid. 4 (14) Ekonomisk analys Moderbolaget bedriver ingen operativ verksamhet. Bolagets intäkter följer av fakturering till dotterbolagen för koncerngemensamma frågor som moderbolaget ansvarar för. Det planerade resultatet om 63 mnkr följer av moderbolagets positiva finansnetto. 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden 1.5 Alla stockholmare ska ha tillgång till ett rikt kultur-, idrotts- och föreningsliv Stadens arenabestånd ska ha en hög tillgänglighet för olika grupper av besökare och bidra till att stärka besöks- och upplevelsesektorn i Stockholm. En del i det arbetet är att löpande göra behovsanalyser och analysera utvecklingsriktningar inom området för att på bästa sätt vara rustade inför dagens och framtidens behov. Under 2026 kommer moderbolaget bistå i detta arbete. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Kommunstyrelsen ska i samarbete med idrottsnämnden och Stockholms Stadshus AB genomföra en övergripande analys av hur arenabeståndet möter dagens och framtidens behov av större arenor för olika typer av evenemang 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning Cirkularitet är en nyckelkomponent i Stockholms omställning till ett hållbart samhälle. Under 2026 kommer moderbolaget att stödja bolagen i utvecklingen av återbrukshubbar och arbetet med att implementera krav på återbruk och cirkulära material i bygg- och anläggningsprojekt. Detta arbete samordnas med stadens mål om att etablera en återbrukscentral för byggmaterial som kan nyttjas av stadens verksamheter. Genom att främja återbruk och ställa krav i upphandlingar bidrar koncernens bolag till minskad resursanvändning och klimatpåverkan. Moderbolaget säkerställer att koncernens bolag följer de nya kraven genom enhetlig rapportering och uppföljning av nyckeltal inom klimat, energi och cirkularitet. Detta skapar en tydlig och transparent bild av koncernens framsteg i klimatomställningen och stärker Stockholms position som föregångare i arbetet för ett klimatpositivt och resilient samhälle. 2.1 Stockholm ska bli klimatpositivt – genom minskade utsläpp och ökad koldioxidlagring En central del i Stockholms klimatomställning är det fortsatta arbetet med att utveckla och realisera lösningar för negativ klimatpåverkan genom infångning och permanent lagring av koldioxid. Stockholm Exergis projekt för bioenergi med koldioxidavskiljning och lagring (BECCS) fortskrider enligt plan, med planerad driftstart i slutet av 2028. Moderbolaget kommer under 2026 att noggrant följa projektets framdrift och bidra till att identifiera och hantera risker kopplade till tidplan och genomförande. Sid. 5 (14) Moderbolaget kommer under året att agera omställningsledare inom omställningsområdet "Utveckla ett klimatpositivt energisystem". Arbetet inriktas på att aktivt delta i planering och utredningar av stadens framtida energiförsörjning, i nära samverkan med berörda bolag och förvaltningar. Särskild vikt läggs vid att säkerställa att planerade åtgärder ligger i linje med stadens långsiktiga klimatmål. Vidare kommer moderbolaget att följa upp utfallet av genomförda åtgärder under 2025 och driva på för fortsatt utveckling av aktiviteter som bidrar till fossilfrihet. Tillsammans med energicentrum vid miljöförvaltningen kommer uppföljning av energianvändningens utveckling under mandatperioden att genomföras, som underlag för fortsatt prioritering av insatser. För att möta stadens mål om en fossilfri fordonsflotta till 2030 och en utsläppsfri innerstad fortsätter utbyggnaden av laddinfrastruktur i koncernens parkerings- och fastighetsbestånd. Bolagen ges i uppdrag att prioritera installationer där effektkapacitet och efterfrågan är som störst, samtidigt som synergier i samarbetet mellan bostadsbolagen och Stockholm Parkering stärks. Arbetet med mobilitetslösningar som bilpooler och utökad cykelinfrastruktur är också en viktig del för att möjliggöra en mer hållbar transportsektor. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Tillse att dotterbolagen arbetar aktivt med Fortsätta följa och identifierade aktiviteter inom säkerställa dotterbolagens miljöprogrammet och arbete med och tillämpning klimathandlingsplanen. av stadens miljöprogram och klimathandlingsplan samt tillhörande handlingsplaner Följ upp tillsammans med energicentrum på Samordna koncernens miljöförvaltningen utfall för övergripande arbete för att energianvändningen under bolagen ska bidra till att nå mandatperioden målet om att energianvändningen i kommunens fastigheter och verksamheter ska minska med 10 procent under mandatperioden Övervaka och verka för framdrift i nya och pågående Svara för koncernens projekt gällande infångning övergripande arbete för att av koldioxid. nå målet om en klimatpositiv stad år 2030 Följ upp resultat för 2025 och fortsätt driva på för Svara för koncernens aktiviteter som leder till övergripande arbete för att fossilfrihet. Stockholms stads organisation ska vara fossilfri år 2030 Fortsätta säkerställa att dotterbolagen inventerar var Säkerställa att de det lämpar sig att installera kommunala bolagen solceller på stadens tak inventerar var det lämpar samt planerar för att sig att installera solceller installera solceller för att öka på stadens tak samt den lokala elproduktionen. planerar för att installera solceller under mandatperioden för att öka den lokala elproduktionen Sid. 6 (14) Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Aktivt delta i planeringen för framtida energiförsörjningen Tillsammans med i staden genom utredningar kommunstyrelsen utveckla och projekt. kommunkoncernens strategiska planering och uppföljning för en långsiktigt hållbar energi- och elförsörjning Agera omställningsledare för omställningsområdet Tillsammans med miljö- Utveckla ett klimatpositivt och hälsoskyddsnämnden energisystem. ansvara för att leda omställningsområdet Utveckla ett klimatpositivt energisystem i genomförandet av Klimathandlingsplan 2030 Kommunstyrelsen ska i samarbete med fastighetsnämnden, miljö- och hälsoskyddsnämnden, Stockholms Stadshus AB, AB Familjebostäder, AB Stockholmshem, AB Svenska Bostäder och Micasa Fastigheter i Stockholm AB utreda möjligheter till införande av bonusvitesmodell för kravställning i upphandling av byggentreprenader och i byggprojekts utförandeskede i syfte att minska klimatpåverkan och främja ökat återbruk 2.2 Stockholm ska vara en stad där den biologiska mångfalden ökar Biologisk mångfald och klimatanpassning kommer att vara centrala frågor under året. Moderbolaget följer upp bolagens insatser för att stärka grönska och ekosystemtjänster i både befintliga och nya fastighetsbestånd. Trädplantering och andra åtgärder för att öka krontäckningsgraden i utsatta områden prioriteras, samtidigt som arbetet med skyfallsanpassningar intensifieras för att minska risken för översvämningar och säkerställa en robust infrastruktur. Koncernens bolag fortsätter att utveckla lösningar för att möta ett förändrat klimat, med särskilt fokus på områden med höga värmeeffekter och risk för vattenansamlingar. 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla 3.1 Stockholms ekonomi är stark, hållbar och lägger grunden för en jämlik välfärd Stockholm är en stad i ständig utveckling, med stora behov av nya bostäder, infrastruktur och samhällsservice. För att möta dessa behov genomförs omfattande investeringar som kräver god planering, styrning och uppföljning. Utgångspunkten är att varje investering ska vara väl motiverad, kostnadseffektiv och bidra till stadens mål om ett hållbart och tryggt Stockholm. Sid. 7 (14) Investeringsnivån är fortsatt hög, bland annat till följd av stadens bostadsmål och nödvändiga satsningar inom samhällskritisk infrastruktur samt miljö och klimat, skola, kultur, säkerhet och trygghet med mera. Det stora investeringsåtagandet ställer höga krav på styrning, prioritering och samordning inom hela kommunkoncernen. De senaste åren har moderbolaget arbetat systematiskt för att stärka kontrollen över bolagskoncernens investeringsverksamhet för att säkerställa en långsiktigt hållbar ekonomi. Arbetet med att utveckla stadens investeringsstyrning har intensifierats under senare år. Bland annat har beslutsunderlag i tidiga skeden förbättrats, riskhanteringen stärkts och rutiner för uppföljning och rapportering förtydligats. En enhetlig rapporteringsstruktur har införts inom bolagskoncernen och utbildningsinsatser för styrelser och ledningar genomförs återkommande. För projekt över en miljard kronor har särskilda anvisningar införts, med krav på fördjupad analys, extern expertis och regelbunden rapportering till koncernstyrelsen. Frekvensen i uppföljning och rapportering till koncernstyrelsen har ökat. Detta nya arbetssätt inkluderar både regelbundna lägesrapporter för enskilda projekt och övergripande analyser av det samlade investeringsläget i koncernen. En tydlig ekonomisk styrning av dotterbolagen är viktigt för att behålla bolagens långsiktiga förmåga att bidra till samhällsnytta. Det nya arbetssättet ger bättre förutsättningar för en samlad styrning, vilket ökar förmågan att ta tillvara eventuella samordningsvinster mellan projekt utifrån ett koncernövergripande perspektiv. Ett tydligt exempel på hur stärkt styrning skapar konkret nytta är den pågående utbyggnaden och upprustningen av stadens verksamhetslokaler, såsom vård- och omsorgsboenden, där finansieringen till stor del sker via stadens nämnder. Koncernledningen har tillsammans med stadsledningskontoret utvecklat ett stadsövergripande arbetssätt för att samordna dessa investeringar. Genom nya arbetssätt kan staden möta de växande behoven som följer av den demografiska utvecklingen, samtidigt som en långsiktigt hållbar och ansvarsfull ekonomisk hushållning upprätthålls. Ett förstärkt samarbete mellan Stockholms Stadshus AB, stadsledningskontoret, stadens förvaltningar och bolag har etablerats för att samordna investeringar och prioritera resurser utifrån stadens samlade behov. Genom tätare uppföljning, tydligare ansvarsfördelning och gemensamma rutiner har bättre förutsättningar skapats för att investeringarna genomförs med hög kvalitet, inom budget och i rätt tid. Moderbolaget kommer under 2026 också arbeta med att följa upp hur koncernens resultat kan bibehållas och förstärkas. En del i uppdraget om förbättrade resultat är att arbeta för ökad andel extern finansiering, något som alla bolag har i uppdrag att utveckla. Moderbolaget kommer under 2026 stärka koncernens samlade arbete med näringslivsfrågor. Bolaget kommer vara en aktiv part när Näringslivspolicyn ska implementeras i stadens verksamheter. Detta kommer att ske genom utbildningsinsatser med fokus på att vidareutveckla en tillgänglig, stödjande och lösningsorienterad organisation som har näringslivets perspektiv, behov och upplevda verklighet i all relevant verksamhet. Sid. 8 (14) Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Fokus på långsiktiga effektiva åtgärder Redogör för hur tillsammans med bolaget arbetar med att dotterbolagen. Om möjligt öka graden av genomföra en översyn av egenfinansiering i syfte att effekterna av nuvarande minska skuldutvecklingen. redovisningsregelverk och i I detta ingår att arbeta för samband med detta se över att innehavet av fastigheter avskrivningstider. I relation bidrar till att planerade till detta ägardirektiv också investeringar kan se över kommande genomföras med investeringsbehov. bibehållen finansiell styrka och med låg finansiell risk samtidigt som stadens kapacitet och förmåga att tillhandahålla effektiva och ändamålsenliga verksamhetslokaler utvecklas Implementera reviderade tillämpningsanvisningar för Samordna koncernens investeringar arbete med investeringsstyrning Medverka i stadsledningskontorets arbete med översyn av kommunkoncernens investeringsstyrning och SSIP Fokus på långsiktigt effektiva åtgärder Tillsammans med tillsammans med dotterbolagen bedriva ett dotterbolagen. arbete för långsiktig positiv Koncernledningen ekonomisk genomför, utifrån resultatutveckling och ökad dotterbolagens inlämnade egenfinansieringsgrad förslag till flerårsplaner, i dialog med berörda bolag ett arbete för att se över hur bolagens ekonomiska resultat utan att kvalitet eller verksamhetsmässiga mål påverkas negativt. Moderbolaget kommer, utifrån dotterbolagens Tillsammans med tertialrapporter och förslag kommunstyrelsen och i till flerårsplaner, följa arbetet samråd med Stockholm med näringslivsfrågor och Business Region styra, vid behov lämna samordna och följa upp rekommendationer till dotterbolagens berörda dotterbolag näringslivsarbete ur ett strategiskt perspektiv Sid. 9 (14) Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet AB Svenska Bostäder, AB Familjebostäder och AB Stockholmshem ska i samverkan med Stockholms Stadshus AB och Stockholms Stads Parkerings AB pröva om det går att föra över hela eller delar av förvaltningen av existerande parkeringar (som idag driftas av bostadsbolagen eller externa parter) till Stockholms Stads Parkerings AB med långsiktiga avtal utan att det uppstår ekonomiska effekter som är ogynnsamma för hushållen Kommunstyrelsen och Stockholms Stadshus AB ska utreda hur stadens organisation kan möta behovet av en hög egenfinansieringsgrad, samtidigt som prioriterade investeringar genomförs Kommunstyrelsen ska i samarbete med fastighetsnämnden, idrottsnämnden, utbildningsnämnden, SISAB och Stockholms Stadshus AB utreda möjliga former för samfinansiering för skolidrottshallar i de fall sådana byggs fullstora utan att skolan identifierat ett sådant behov för sin verksamhet. Samfinansiering ska i sådana fall ske på ett sätt som inte belastar skolpengen Kommunstyrelsen ska i samarbete med äldrenämnden, Stockholms Stadshus AB och Micasa Fastigheter i Stockholm AB se över samverkansavtalet mellan staden och dotterbolaget. I samband med detta även titta på finansieringen för nya vård- och omsorgsboenden 3.2 I Stockholm ska alla ges möjlighet till ett eget jobb Moderbolaget ska samordna och följa upp dotterbolagens arbete med att bidra till att fler får anställning via stockholmsjobb och att fler ungdomar får feriejobb. Moderbolaget deltar i stadens styrgrupp för Sid. 10 (14) feriejobb och säkerställer att bolagskoncernens förutsättningar beaktas vid framtagande av anvisningar m.m. Bolaget samverkar med arbetsmarknadsförvaltningen och har även regelbunden kontakt med dotterbolagen vad gäller bland annat Stockholmsjobb och feriejobb via nätverksträffar. För 2026 finns ett uppdrag hos arbetsmarknadsnämnden om att skapa en tydligare modell för fördelning av feriejobb mellan stadens nämnder och bolag. Målet är att säkerställa en jämnare fördelning av arbetsplatser, då vissa stadsdelar idag är hårt belastade. Bolaget kommer delta i detta arbete. Bolaget kommer detta år erbjuda en plats för feriejobbare på sportlovet. Bolaget ska delta i arbetet med att ta fram förslag på struktur för stadens näringslivsarbete baserat på näringslivspolicyn, vilket ska vara klart till halvårsskiftet. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Samverkan sker med arbetsmarknadsförvaltninge Samordna och följa n genom att bolaget deltar i upp dotterbolagens arbete styrgrupp för feriejobb och med att bidra till att fler får säkerställer att anställning via bolagskoncernens stockholmsjobb och att fler förutsättningar beaktas vid ungdomar får feriejobb framtagande av anvisningar m.m. Bolaget har även regelbunden kontakt med dotterbolagen vad gäller bland annat Stockholmsjobb och feriejobb via nätverksträffar. Dialog sker med arbetsmarknadsförvaltninge n och stadsledningskontoret vad gäller utveckling av arbetet med att ta emot fler Stockholmsjobbare. Antal tillhandahållna 1 st Tas fram av platser för feriejobb nämnd/styrelse Antal tillhandahållna 0 st Tas fram av platser för nämnd/styrelse Stockholmsjobb Kommunstyrelsen ska i samarbete med Stockholms Stadshus AB utreda organisatoriska strukturer för stadens näringslivsarbete 3.3 I Stockholm ska alla ha rätt till ett bra boende som de har råd med Moderbolaget säkerställer genom ägardialog, uppföljning och samordning att stadens allmännyttiga bostadsbolag bedriver ett effektivt och målinriktat arbete för överkomliga hyresrätter i hela staden. Arbetet sker i linje med kommunfullmäktiges budget och ägardirektiv för koncernen. Ett särskilt fokus ligger på Stockholmshusen där moderbolaget samordnar insatser mellan bostadsbolagen och berörda nämnder, och följer upp att planering, markanvisningar och byggvolymer stödjer stadens mål samt att kostnadseffektiva mobilitets och parkeringslösningar prövas där det är relevant. Moderbolaget följer också upp att bolagen prioriterar underhåll, trygghetsfrämjande åtgärder och energieffektivisering i beståndet samt att sociala insatser bedrivs för ökad trygghet och minskad segregation. I detta ingår samordning med Micasa inom stadens allmännytta för boenden för äldre och andra grupper med särskilda behov. Sid. 11 (14) Moderbolaget kommer även under 2026 att delta i den samordningsstruktur som bildas med bolag och förvaltningar inom ramen för budgetuppdraget att ta fram en plan för förtätning genom stadsradhus. Arbetet omfattar även framtagande av konceptradhus för kompletteringsbebyggelse, med särskilt fokus på rimlig prissättning och överkomliga hyror. I enlighet med budget 2025 ska moderbolaget i samarbete med kommunstyrelsen utreda och inrätta ett bolag i syfte att driva projektutveckling för bland annat bostadsbyggande i tidiga skeden. När det nya projektutvecklingsbolaget är inrättat ska ett arbete med två pilotprojekt i tidiga skeden påbörjas. Enligt budget 2026 ska kommunstyrelsen leda arbetet med att tydliggöra den långsiktiga inriktningen för Kistas utveckling och säkerställa genomförandet av insatser för att väsentligt öka områdets attraktionskraft. Inom ramen för detta arbete ska kommunstyrelsen utreda möjliga former för att samordna stadsutveckling, näringslivssamverkan och platsutveckling i Kista, där utvecklingsbolag är en möjlighet. Moderbolaget föreslås, under förutsättning av beslut i kommunfullmäktige, få i uppdrag att förvärva två bolag som inte bedrivit någon verksamhet tidigare, så kallade lagerbolag. Moderbolaget, föreslås också, under förutsättning av kommunfullmäktiges beslut om förvärv av bolagen, återkomma till koncernstyrelsen och kommunfullmäktige med förslag till bolagsordningar, styrelse, verksamhetsplan och budget. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Säkerställa att bostadsbolagen är fortsatt Säkerställa att viktiga aktörer för att uppnå bostadsbolagen är fortsatt stadens bostadsmål, öka viktiga aktörer för att uppnå byggandet av hyresrätter stadens bostadsmål, öka med hyror som gör att fler byggandet av hyresrätter har råd att efterfråga med hyror som gör att fler hyresrätterna samt arbeta har råd att efterfråga för att stärka samverkan hyresrätterna samt arbeta mellan samtliga fyra för att stärka samverkan bostadsbolag. mellan samtliga fyra bostadsbolag Tillsammans med bostadsbolagen, Tillsammans med exploateringsnämnden och bostadsbolagen, stadsbyggnadsnämnden exploateringsnämnden och bedriva en långsiktig och stadsbyggnadsnämnden effektiv planering för bedriva en långsiktig och byggandet av effektiv planering för Stockholmshus och i detta byggandet av arbete ta ett Stockholmshus och i detta samordningsansvar. arbete ta ett samordningsansvar Tillsammans med exploateringsnämnden, Tillsammans med stadsbyggnadsnämnden exploateringsnämnden, bedriva en långsiktig och stadsbyggnadsnämnden effektiv planering för och Stockholms Stadshus byggandet av AB bedriva en långsiktig Stockholmshus. och effektiv planering för Produktionen av byggandet av Stockholmshus bör utgöra Stockholmshus. minst hälften av Produktionen av allmännyttans samlade Stockholmshus bör utgöra produktion fram till 2030. minst hälften av allmännyttans samlade produktion fram till 2030 Sid. 12 (14) Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Kommunstyrelsen och Stockholms Stadshus AB ska i samarbete med exploateringsnämnden, äldrenämnden och Micasa Fastigheter AB se över och inarbeta strategier samt behovs- och efterfrågebedömningar för seniorbostäder i syfte att utöka antalet och andelen seniorbostäder för personer över 65 år. Som en del i detta ska ansvarsfördelning och behov av samordning avseende seniorbostäder utredas. Kommunstyrelsen ska i samarbete med exploateringsnämnden, idrottsnämnden, kulturnämnden, stadsbyggnadsnämnden, trafiknämnden, utbildningsnämnden, Järva stadsdelsnämnd, Stockholm Business Region AB samt Stockholms Stadshus AB ta fram en plan för Kistas framtida utveckling i samråd med Kista Science City AB och andra externa aktörer. Kommunstyrelsen ska i samarbete med exploateringsnämnden, idrottsnämnden, stadsbyggnadsnämnden, Stockholms Stadshus AB och Stockholm Globe Arena fastigheter AB se över utvecklingsmöjligheter för Globenområdets norra delar, med fokus på stadsutveckling samt framtida lösningar för evenemang och idrott. Stadsbyggnadsnämnden ska i samråd med kommunstyrelsen, exploateringsnämnden, Stockholms Stadshus AB, AB Familjebostäder, AB Stockholmshem och AB Svenska Bostäder utforma koncepthus för stadsradhus, baserat på koncept för överkomliga hyror, yteffektivitet och flera rum. Sid. 13 (14) 3.4 Medarbetare i Stockholm ska ges goda förutsättningar att göra ett bra jobb Moderbolaget samverkar med stadsledningskontorets avdelning för utveckling och HR för att bevaka de personalfrågor som berör bolagen. Bolaget driver ett personalchefsnätverk för bolagen där aktuella personalfrågor och uppdrag lyfts. Bolaget har en liten och effektiv organisation som snabbt kan ställa om för att möta förändrade uppdrag och utmaningar. Arbetsplatsen är jämställd och medarbetarna har hög kompetens inom sina respektive ansvarsområden. Kompetensutveckling sker löpande. Sjukfrånvaron är låg på bolaget. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Aktivt 82 82 Medskapandeindex Sjukfrånvaro 2 % Tas fram av nämnd Sjukfrånvaro dag 1- 2 % Tas fram av 14 nämnd 3.5 Hög beredskap och stark rådighet ska råda i alla verksamhetsområden Moderbolaget ska under 2026-2027 fortsätta arbetet inom ramen för den stadsövergripande RSA- processen och 2026 genomföra steg 1–4 av verksamhetens RSA i enlighet med Stockholms stads arbete med risk- och sårbarhetsanalyser (2025/1171). Utöver bolagets egen risk- och sårbarhetsanalys kommer arbete ske inom frågor som behandlas i stadens sektorsorganisation där Stadshus AB deltar i två sektorer samt i den övergripande styrgruppen för sektorsorganisationen. Samverkan med stadsledningskontorets säkerhetsavdelning samt övriga avdelningar ska fortsätt utvecklas 2026 för att stärka koncernledningens kunskap och involvering utifrån framtagna kris- och krigsledningsplaner. Stockholms Stadshus AB övar tillsammans med stadsledningskontoret. I internkontrollplanen, som biläggs verksamhetsplanen, framgår vilka risker och kontrollaktiviteter som prioriterats för året. Bolagets arbete med informationssäkerhet de närmaste tre åren, inklusive prioriterade aktiviteter för 2026 framgår av dokumentet Ledningens genomgång som biläggs verksamhetsplanen. DSO årsrapport tas fram och presenteras för koncernstyrelsen som eget ärende i samband med verksamhetsberättelsen för 2026. Bolaget kommer arbeta med DSOs rekommendationer. Bolagsstyrelsens mål för Indikator Årsmål KF:s årsmål Aktivitet verksamhetsområdet Deltagande sker i de två sektorerna energiförsörjning Delta i arbetet inom och finansiella tjänster samt stadens deltagande i sektorsorganisation för civil stadsövergripande beredskap. beredskapsråd och styrgruppen för civil beredskap. Andel prioriterade 100 % 95 % avtal där uppföljning genomförts Andel upphandlingar 100 % Tas fram av som innehåller krav nämnd/ styrelse på arbetsrättsliga villkor Sid. 14 (14) 3.6 Tryggheten ska öka genom förebyggande insatser Moderbolaget ska under året arbeta vidare med att, i samarbete med stadsledningskontoret, följa bolagens arbete med trygghetsskapande och brottsförebyggande arbete samt delta i stadens nätverk och forum. Bolaget kommer följa koncernens arbetet inom flera områden för att motverka välfärdsbrottslighet. Bland annat genom att följa dotterbolagens utvecklingsarbete med systematiska kontroller, avtalsuppföljning och förbättrad intern styrning. Det är viktigt att stadens bolag arbetar med tillbörlig aktsamhet och därmed identifierar, förhindrar, begränsar och hanterar faktisk och potentiell negativ påverkan i den egna verksamheten, i leverantörskedjan och i andra affärsförbindelser. Övrigt CSRD EU:s Omnibus paket har skapat nya förutsättningar för bolag och inkluderar förenklingar i European Sustainability Reporting Standards (ESRS) och i EU-taxonomin. Under 2026 kommer moderbolagets dubbla väsentlighetsanalys (DVA) ses över. Arbetet med att integrera väsentliga ämnens påverkan, risker och möjligheter i dotterbolagens strategier och affärsmodeller fortgår. Arbetet med metodstöd för ämnesstandarder ESRS fortsätter och en process för tillbörlig aktsamhet kommer utvecklas. En sammanhållen stad - lokala utvecklingsbehov Moderbolaget har under 2025 initierat och medverkat i en förstudie i Järva med syfte att öka ungas intresse för STEM-utbildningar. Arbetet har bland annat resulterat i etableringen av en filial för Vetenskapens Hus i Kista under 2026. Bolaget medverkar i etableringsarbetet 2026 samt undersöker, i samverkan med akademin, möjligheten till extern finansiering för kompletterande satsningar med filialen som nav. Insatserna syftar till att stärka inkludering, delaktighet och jämlika framtidsmöjligheter och är i linje med stadens arbete gällande fokusområdena samt pågående uppdrag kopplade till Kistas långsiktiga utveckling. Informationssäkerhet - ledningens genomgång Se bilaga 3. --- [Bilaga 2 Väsentlighets- och riskanalys samt internkontroll Stadshus AB 2026.pdf] Moderbolaget Stockholms Stadshus Bilaga AB Dnr: SSAB 2025/236 Sid 1 (14) Väsentlighets- och riskanalys samt internkontrollplan 2026 för Moderbolaget Stockholms Stadshus AB Moderbolaget Stockholms Stadshus AB start.stockholm Bilaga Sid 2 (14) Innehållsförteckning Inledning ....................................................................................................................................3 Risköversikt ...............................................................................................................................7 Internkontrollplan ..................................................................................................................14 start.stockholm Bilaga Sid 3 (14) Inledning Under 2025 har arbetet med internkontroll utvecklats av stadsledningskontoret i samverkan med Stockholms Stadshus AB och nya tillämpningsanvisningar tagits fram för bolagen. Beskrivning av arbetet med intern kontroll Intern kontroll ska vara en del i det löpande arbetet, där såväl den politiska som tjänstemannaledningen och medarbetare samverkar. Den interna kontrollen ska utformas för att med rimlig grad av säkerhet kunna uppnå: • att verksamheten är ändamålsenlig och effektiv • att information om verksamhet och ekonomi är tillförlitlig och rättvisande • att lagar, förordningar, föreskrifter och styrdokument följs. Bolagsstyrelsen har ansvar för den interna kontrollen i den egna verksamheten. Bolagsstyrelsen ska säkerställa att denna är tillräcklig för att förebygga fel och oegentligheter i verksamheten samt att den bedrivs på ett i övrigt tillfredsställande sätt. Detta omfattar att utforma och organisera den interna kontrollen och skapa effektiva system för uppföljning. Bolaget ska i samband med verksamhetsplaneringen: • upprätta och besluta om ett system för intern kontroll • genomföra och besluta om en väsentlighets- och riskanalys (VoR) • upprätta och besluta om en internkontrollplan utifrån genomförd väsentlighets- och riskanalys. • Bolaget ska i samband med verksamhetsberättelsen. • redovisa genomförda direktåtgärder • redovisa resultatet av samtliga genomförda kontroller enligt internkontrollplanen. • redovisa vilka korrigerande åtgärder som genomförts med anledning av kontrollerna. • bedöma om bolagets interna kontroll under det föregångna året varit tillräcklig, delvis tillräcklig eller otillräcklig. System för intern kontroll Intern kontroll är en ständigt pågående process där styrelse, vd, vice vd och övrig personal samverkar. Syftet med intern kontroll är att säkerställa att bolaget bedriver en effektiv verksamhet och undgår allvarliga fel och skador. Intern kontroll är ett vitt begrepp som innefattar allt från rättvisande räkenskaper till styrning och uppföljning mot uppsatta mål. Den start.stockholm Bilaga Sid 4 (14) interna kontrollen ska bidra till en ändamålsenlig och kostnadseffektiv verksamhet, tillförlitlig finansiell rapportering och information om verksamheten samt efterlevnad av tillämpliga styrdokument. Detta ska sammantaget bidra till effektiv användning av skattemedel samt service med hög kvalitet till kommuninvånarna. Roller, ansvarsfördelning och rapporteringsrutiner En förutsättning för en tillräcklig intern kontroll är en tydlig delegation av ansvar och befogenheter i organisationen. Nedan beskrivs roller och ansvar i arbetet med intern kontroll. Styrelsen Styrelsen har det yttersta ansvaret för den interna kontrollen i den egna verksamheten och ska årligen: • upprätta och besluta om ett system för intern kontroll. • besluta om en väsentlighets- och riskanalys. • besluta om en internkontrollplan utifrån genomförd väsentlighets- och riskanalys. • bedöma huruvida den interna kontrollen är tillräcklig. Vd/vice vd: • rapporterar till bolagsstyrelsen hur den interna kontrollen fungerar samt föreslår nödvändiga åtgärder. • säkerställer att bolagets medarbetare har kunskap om de lagar, föreskrifter, riktlinjer och rutiner som gäller för verksamheten samt om hur brister och avvikelser ska rapporteras. • ska inom bolaget skapa förutsättningar för en arbetsplatskultur som främjar god intern kontroll. • skapar förutsättningar för en arbetsplatskultur som främjar god intern kontroll. • rapportera brister och avvikelser i enlighet med bolagets system för intern kontroll. Vid väsentliga avvikelser ska åtgärder vidtas. Administrativ chef • samordnar arbetet med intern kontroll för bolaget. • samordnar granskningsresultat och rapportering till styrelse. • rapporterar avvikelser till vice vd. Medarbetare • ska följa de lagar, föreskrifter, riktlinjer och rutiner som gäller för verksamheten. • bidrar till att skapa en arbetsplatskultur som främjar god intern kontroll. • rapporterar brister och avvikelser till vice vd. start.stockholm Bilaga Sid 5 (14) Väsentlighets- och riskanalys Väsentlighets- och riskanalysen utgör grunden för arbetet med intern kontroll. Den är ett viktigt verktyg som används för att identifiera och minimera riskerna i verksamheten. Väsentlighets- och riskanalysen ska utgå från bolagets väsentliga processer och delprocesser. Genom att identifiera och analysera risker i processer och delprocesser kan bolaget systematiskt stärka förebyggande hantering, minimera brister och minska risken för fel och oegentligheter. Av den färdiga väsentlighets- och riskanalysen som beslutas av bolagsstyrelsen ska följande framgå: • Väsentliga processer och delprocesser • Risker kopplat till delprocesserna • Förebyggande hantering för att hantera riskerna • Värdering av risknivå, det vill säga sannolikhet och konsekvens samt det totala riskvärdet för respektive risk • Riskrespons • Eventuella direktåtgärder • Om risken ska hanteras i internkontrollplanen eller inte I inledningen av väsentlighets- och riskanalysen identifieras de processer som är väsentliga inom bolagets ansvarsområde. Processerna bryts ned i delprocesser och risker kopplade till delprocesserna identifieras. Vissa processer är obligatoriska att hantera i väsentlighets- och riskanalysen. Utöver dessa ska bolaget identifiera väsentliga processer som är kopplade till det egna ansvarsområdet. Direktåtgärder kan beslutas när det saknas förebyggande hantering för en risk, och den ansvariga för verksamheten bedömer att åtgärd bör införas. Utifrån den genomförda väsentlighets- och riskanalysen tas en internkontrollplan fram. Vilka kontrollaktiviteter som ska utföras under året dokumenteras. Risker med riskvärde (1-7) kan lämnas utan vidare behandling, d.v.s. accepteras. Risker med ett värde på 8 eller högre betraktas som väsentliga och inkluderas i internkontrollplanen. Av direktiven för Stockholm Stadshus AB framgår bland annat att moderbolaget ska utöva ekonomisk kontroll och uppföljning samt att utveckla styrformer och samspelet mellan ägare, start.stockholm Bilaga Sid 6 (14) koncernledning och dotterbolag. Under 2025 har moderbolaget haft ett fortsatt särskilt fokus på investeringsstyrning samt uppföljning. Fokus har även lagts på strategiska frågor för bolagen där moderbolaget har ett viktigt ansvar som ägare. Uppföljning av internkontrollplan 2025 redovisas till koncernstyrelsen i april 2026. Lagstiftning och styrande dokument Det finns ingen särskild associationsform för kommunägda aktiebolag och därför omfattas bolagen i Stockholms Stadshus AB av flera olika lagstiftningar. Kommunallagen och aktiebolagslagen är de övergripande lagar som bolagen, inklusive moderbolaget, ska följa. Därutöver styrs bolaget även av regler i bland annat tryckfrihetsförordningen, offentlighets- och sekretesslagen, årsredovisningslagen, arkivlagen, dataskyddsförordningen samt lagen om offentlig upphandling. Vissa av bolagen lyder även under speciallagstiftning som reglerar deras verksamhet. Det ställer höga krav på staden och dess bolag att analysera och tolka olika uppdrag, beslut och händelser och att anpassa sig efter dessa. För bolaget finns flera övergripande program, riktlinjer, regler och anvisningar som styr bolagets verksamhet. När det gäller arbetet med intern kontroll är det, utöver stadens vision och budget, investeringsstrategi och regler för ekonomisk förvaltning, representationspolicy och allmänna styrdokument framförallt stadens säkerhetsprogram, informationssäkerhetsriktlinje, personalpolicy samt upphandlingsprogram som berör riskerna nämnda i nedan väsentlighets- och riskanalys samt internkontrollplan. Även bolagets attestinstruktion, arbetsordning och bolagsordning är relevanta styrdokument för internkontrollplanen. Uppföljning I samband med verksamhetsberättelsen ska det interna kontrollarbetet följas upp och rapporteras till styrelsen. Vid eventuella avvikelser ska vidtagna åtgärder beskrivas. start.stockholm Bilaga Sid 7 (14) Risköversikt Kritisk Hög 4 Medium Låg 3 2 start.stockholm snevkesnoK 10 13 2 3 6 8 11 12 14 1 5 7 9 15 18 22 Konsekvens Sannolikhet 4 Allvarlig Mycket hög 3 Betydande Hög 17 21 4 19 20 23 24 16 2 Måttlig Medelhög 1 Försumbar Låg 1 1 2 3 4 Sannolikhet 2 Hög20 Medium 2 Låg Totalt: 24 Bilaga Sid 8 (14) Process Delprocess Nr Risk Risknivå Direktåtgärder Ekonomistyrning Budget och uppföljning, 1 Bristande effektivitet i budget- och uppföljningsprocessen för Medium (6) investeringsstyrning bolagskoncernen Förebyggande hantering Anvisningar tas fram för bolagens arbete med verksamhetsplan utifrån budget och ägardirektiv och uppföljning sker i samband med VP samt löpande under året. Genomgång av bolagens verksamhetsplaner, löpande uppföljning enligt årshjul samt vid bolagsbesök och vid behov. 2 Bristande intern styrning av projekt och investeringar Hög (8) Förebyggande hantering Investeringsanvisningar har setts över och förtydligats. Större projekt följs genom deltagande i relevanta forum såsom styrgrupper m.m. Koncernledningen deltar också i stadsövergripande investeringssamordning och har därutöver löpande möten endast avsedda för genomgång av investeringsläget. Bolagen rapporterar utfall och prognos på alla projekt över 200 mnkr tertialvis till moderbolaget. 3 Händelser i samhällsekonomin får oförutsedda negativa följder Hög (8) för koncernens bolag Förebyggande hantering Finanspolicy beslutas och följs och kontinuerlig omvärldsbevakning sker och redovisas till styrelsen. Framtagande av finansiell månadsrapport samt annan ekonomisk redovisning till styrelsen sker i nära samarbete med kommunstyrelsen. Omvärldsbevakning sker kontinuerligt bl.a. genom mediabevakning, bevakning av ny lagstiftning, nätverkande samt genom att moderbolaget hanterar samtliga remisser som bevaras till staden från bolagskoncernen. I samband med koncernledningsmöten lyfts områden där nya frågor och områden kan medföra att en tydlig ansvarsfördelning behöver göras. start.stockholm Bilaga Sid 9 (14) Penninghantering, 4 Felaktigheter uppstår vid inköp eller fakturering Medium (4) fakturering, fakturahantering och Förebyggande hantering medelsförvaltning En tydlig attestinstruktion finns framtagen för bolaget och ekonomisystemet är uppbyggtdärefter. Kontroll- och sakattest sker innan fakturor godkänns. Under 2026 inför bolaget inköpssystemet i Agresso då detta blir obligatoriskt att använda för alla stadens bolag. Redovisning 5 Koncernens redovisning uppfyller inte nya krav Medium (6) i årsredovisningslagen/EUdirektiv - CSRD/ESRS och EU- taxonomin Förebyggande hantering Omvärldsanalys och anpassning till ny lagstiftning inom hållbarhetsredovisning. En projektplan för det fortsatta arbetet har tagits fram 2025. En tillhörande aktivitetsplan för 2026-2027 har tagits fram och uppdateras löpande. En operativ styrgrupp har inrättats. Kompletterande styrdokument tas fram. Genomgång sker med expertis och revisorer att arbetet är på rätt väg. Inköp Avrop 6 Avropsprocessen brister eller är ineffektiv Medium (3) Förebyggande hantering Inköp hanteras och avrop och beställningar sker enligt rutiner och beslut. Under 2026 inför bolaget inköpssystemet i Agresso då detta blir obligatoriskt att använda för alla stadens bolag. Avtal 7 Avtal hanteras inte korrekt. Avtalsrutinen ses över för Medium (6) att säkerställa att den Förebyggande hantering uppfyller kraven. Avtal hanteras enligt framtagen rutin. Rutinen bör ses över för att säkerställa att den täcker upp för de konsekvenser som kan uppstå vid felaktig hantering. start.stockholm Bilaga Sid 10 (14) Upphandling 8 Affärsrelationer som bygger på felaktiga grunder Lokal riktlinje för mutor och Medium (3) representation tas fram på Förebyggande hantering bolaget. Professionella relationer med leverantörer. Medarbetare informeras om stadens riktlinje för mutor och representation och chefer är tydliga med vad som gäller i förhållande till opartiskhet gentemot leverantörer i samband med upphandling. 9 Bolaget saknar tillräcklig styrning utifrån kraven i CSRD/ESRS Medium (6) och EU-taxonomin för koncernens och dotterbolagens arbete med tillbörlig aktsamhet i leverantörsled Förebyggande hantering Risker kopplat till faktisk och potentiellt negativ påverkan på miljö och mänskliga rättigheter i leverantörsled är frågor att hantera. Ett utvecklingsarbete pågår för att leva upp till erforderliga krav bland annat genom att ta fram en hållbarhetsdeklaration och en process för tillbörlig aktsamhet. Motverka otillåten påverkan Förebygga otillåten 10 Otillåten påverkan sker i verksamhetsutövningen Medarbetare uppmanas att Medium (4) påverkan gå SKRs digitala kurs om Förebyggande hantering korruption. Bolaget har förebyggande åtgärder som minskar sannolikheten för att påverkan sker. Detta sker genom utbildning, tydliga beslutsvägar, säker hantering av information samt kontroller vid rekrytering och upphandling. Arbetet bidrar till att skapa en trygg och robust organisation med minskad sårbarhet för påtryckningar. Hantera otillåten 11 Brister finns vid hantering av otillåten påverkan Medium (3) påverkan Förebyggande hantering Bolaget har rutiner för vart incidentrapportering ska ske vid misstanke eller upptäckt av otillåten påverkan. Det omfattar rutiner för rapportering, dokumentation samt kontakt med säkerhetsfunktioner och rättsväsende. start.stockholm Bilaga Sid 11 (14) Motverka välfärdsbrott Förebygga välfärdsbrott 12 Tillräckliga rutiner för att förebygga välfärdsbrott saknas Bolaget kommer under 2026 Medium (3) bistå stadsledningskontoret Förebyggande hantering i arbetet med att uppdatera Tydliga attestinstruktioner samt behörighetsrutiner finns och är riktlinjer för implementerade i ekonomi-lönesystem m.m. Behörighetskontroll lokalupplåtelser. sker årligen. Informationsinsatser om stadens arbete mot välfärdsbrott sker för medarbetare. Hantera välfärdsbrott 13 Rutiner för att hantera välfärdsbrott har brister Medium (4) Förebyggande hantering Incidenthanteringssystem med tillhörande rutiner finns på bolaget. Upptäcka välfärdsbrott 14 Välfärdsbrott upptäcks inte på grund av brister i rutiner. Medium (3) Förebyggande hantering Tydliga attestinstruktioner samt behörighetsrutiner finns och är implementerade i ekonomi-lönesystem m.m.. Personalhantering Arbetsmiljö 15 Brister i arbetsmiljön uppstår Medium (3) Förebyggande hantering En arbetsmiljöplan finns framtagen. Regler och riktlinjer kring arbetsmiljö följs. 16 Personberoende verksamhet Medium (6) Förebyggande hantering Bolaget arbetar kontinuerligt med att säkra arbetsprocesserna för att se till att beslut fattas i rätt ordning och takt och att större processer bemannas av mer än en person. För att säkerställa minskad sårbarhet har nyanställning och utökning av antalet medarbetare skett de senaste åren. start.stockholm Bilaga Sid 12 (14) Lönehantering 17 Felaktig utbetalningar sker Låg (2) Förebyggande hantering En lönehanteringsrutin finns samt attestinstruktion. Utlägg redovisas och attesteras av chef. Lönesystem samt bankbehörigheter ses över enligt behörighetsrutin. Kontroller sker årligen av auktoriserad revisor. Fel kan rättas. Rekrytering 18 Risk för diskriminering i rekryteringsprocessen Medium (3) Förebyggande hantering Kompetensbaserad rekrytering tillämpas vilket bidrar till att alla sökande behandlas likvärdigt och att ingen diskriminering förekommer. Generellt används inte personligt brev längre och tester görs under rekryteringsprocessen. Alla rekryteringar sker med Serviceförvaltningen eller externa rekryteringskonsulter som stöd för chefer att göra objektiva bedömningar. Systematiskt Fastställa krav genom 19 Att informationsklassning inte görs och sårbarheter inte Medium (4) informationssäkerhetsarbete informationsklassning identifieras Förebyggande hantering Informationsklassning sker årligen samt vid verksamhetsförändringar/behov. Fastställa lokal 20 Arbete, ansvar, roller och hantering av informationssäkerhet är Medium (4) anvisning för otydligt informationssäkerhet Förebyggande hantering Lokal anvisning uppdateras årligen samt vid behov. Denna kommuniceras med bolagets medarbetare som också genomgår årlig utbildning/certifiering. start.stockholm Bilaga Sid 13 (14) Informationssäkerhet 21 Brister i informationssäkerhet uppstår hos leverantör eller i Låg (2) inom upphandlad tjänst upphandlingsförfarande Förebyggande hantering PUB-avtal upprättas med leverantörer som hanterar personuppgifter åt bolaget. Lokal rutin för 22 Otillbörlig tillgång till information eller system. Medium (3) behörighetshantering Förebyggande hantering Behörigheter i verksamhetssystem och gruppdiskar gås igenom och uppdateras årligen i enlighet med rutin. Registerförteckningen 23 Personuppgifter behandlas felaktigt Medium (4) över bolagets personuppgiftsbehandli Förebyggande hantering ngar. Bolaget har en utsedd informationssäkerhetssamordnare och ett externt dataskyddsombud som följer upp att registerförteckningen uppfyller kraven. Rutin för 24 Incidenthanteringsrutin följs inte Medium (4) incidenthantering Förebyggande hantering Incidenthanteringsrutin har setts över under 2025 och incidenthanteringssystem finns på bolaget enligt stadens anvisningar. start.stockholm Bilaga Sid 14 (14) Internkontrollplan Process Delprocess Nr Risk Riskvärde Kontroll Ekonomistyrning Budget och uppföljning, 1 Bristande intern styrning av projekt och investeringar Kontroll av efterlevnad av Hög (8) investeringsstyrning rutiner samt implementering Förebyggande hantering av uppdaterade Investeringsanvisningar har setts över och förtydligats. Större investeringsanvisningar projekt följs genom deltagande i relevanta forum såsom Kontroll sker i samband med styrgrupper m.m. Koncernledningen deltar också i samråd samt inför stadsövergripande investeringssamordning och har därutöver investeringsbeslut, följs upp och löpande möten endast avsedda för genomgång av utvärderas särskilt på investeringsläget. Bolagen rapporterar utfall och prognos på alla koncernledningsmöten projekt över 200 mnkr tertialvis till moderbolaget. 2 Händelser i samhällsekonomin får oförutsedda negativa Formerna för Hög (8) följder för koncernens bolag omvärldsbevakning utvärderas Förebyggande hantering Omvärldsanalys hjälper Finanspolicy beslutas och följs och kontinuerlig organisationen att identifiera och omvärldsbevakning sker och redovisas till styrelsen. förstå de externa faktorer som Framtagande av finansiell månadsrapport samt annan påverkar koncernen, såsom ekonomisk redovisning till styrelsen sker i nära samarbete med ekonomiska trender, kommunstyrelsen. Omvärldsbevakning sker kontinuerligt bl.a. teknologiska framsteg, politiska genom mediabevakning, bevakning av ny lagstiftning, förändringar och sociala nätverkande samt genom att moderbolaget hanterar samtliga tendenser. remisser som bevaras till staden från bolagskoncernen. I samband med koncernledningsmöten lyfts områden där nya frågor och områden kan medföra att en tydlig ansvarsfördelning behöver göras. start.stockholm --- [Bilaga 3 Stockholms Stadshus AB Ledningens genomgång 2026.pdf] Ledningens genomgång år 2026 1 (12) Ledningens genomgång år 2026 Stockholms Stadshus AB Beslutad 2024-01-09 Reviderad [2024-11-19 och 2026-01-08] Ledningens genomgång Dnr: SSAB 2025/228 Kontaktperson: Johan Gagner 2 (12) 1, Vad är Ledningens genomgång? Ledningens genomgång är ett begrepp inom informationssäkerhet som syftar till att de som ansvarar för informationssäkerheten inom en organisation, minst årligen ska informera sig om hur arbetet går. Enligt Stockholms stads tillämpningsanvisning för informationssäkerhet ska förvaltningschef/bolagschef inhämta en rapport, så kallad ”Ledningens genomgång” från informationssäkerhetssamordnaren. Rapporten bör exempelvis redogöra för om det finns lokala rutiner för incidenthantering, för utbildning av medarbetare och om informationsklassningar och registerförteckning är genomförda. Denna rapportering ska ge information och underlag till förvaltningschef/bolagschef att årligen bedöma om det lokala informationssäkerhetsarbetet och dataskyddsarbetet är tillräckligt och har önskad verkan. Förvaltnings- och bolagschefer ska ta upp aktiviteter som rör informationssäkerhet och dataskydd i verksamhetsplaneringen och i det interna arbetet med att uppnå tillräcklig intern kontroll.1 I Anvisningar för nämndernas arbete med verksamhetsplan 2024 samt i motsvarande Anvisningar budget/VP 2024 koncernen Stockholms Stadshus AB som tas fram till bolagen uppmanas samtliga nämnder och bolagsstyrelser ta fram en Ledningens genomgång med en planering för informationssäkerhetsarbetet för de kommande tre åren. Denna ska biläggas verksamhetsplanen. Planeringen för de kommande tre åren ska utgå från nämndens/bolagets verksamhetsuppdrag i budget och följa Riktlinje för informationssäkerhet i Stockholms stad. I anvisningarna för budget/VP 2026 finns ingen motsvarande uppmaning men ledningens genomgång ska fortsatt tas fram enligt Riktlinje för informationssäkerhet och Funktionen för stadsövergripande informationssäkerhet på stadsledningskontoret. Enligt styrelsens arbetsordning föreläggs denna för koncernstyrelsen årets första ordinarie sammanträde. 1 Tillämpningsanvisning till stadens riktlinje för informationssäkerhet 3 (12) Innehållsförteckning 1, Vad är Ledningens genomgång? ....................................................... 2 Ledningssystem för informationssäkerhet, LIS .................................... 4 Vad påverkar Stockholms Stadshus ABs informationssäkerhetsarbete? .. 4 Omvärldsbevakning ................................................................................... 4 Risk och sårbarhetsanalys ......................................................................... 8 Väsentlighets- och riskanalys (VOR) och internkontrollplan (IKP) ............ 8 Risker som identifierats i GDPR-årsrapport ............................................... 9 Förbättringar för verksamhetens LIS ................................................... 10 Stockholms Stadshus ABs lokala anvisning för informationssäkerhet .... 10 Åtgärder 2025 ......................................................................................... 10 Åtgärder 3-årsplan ................................................................................. 11 Under 2026 ska Stockholms Stadshus AB prioritera att: ......................... 11 Under 2027 ska Stockholms Stadshus AB prioritera att: ......................... 11 Under 2028 ska Stockholms Stadshus AB prioritera att: ......................... 12 4 (12) Ledningssystem för informationssäkerhet, LIS Stockholms stads arbete med informationssäkerhet utgår från en så kallad ISO standard, ISO 27001. Det är en global standard för informationssäkerhet som hjälper organisationer att skydda sin känsliga information från hot och risker. Standarden ger ett ramverk för hur man implementerar ett ledningssystem för informationssäkerhet, LIS, som skyddar informationstillgångarna och ger en IT-process som är lättare att hantera, mäta och förbättra. Stockholms stads informationssäkerhetsarbete regleras i en tillämpningsanvisning som är en bilaga till stadens Kvalitetsprogram2. Till riktlinjen finns tillämpningsanvisningar som är fastställda av stadsdirektören. Tillämpningsanvisningarna reglerar ansvar och roller sett till Stockholms stads systematiska informationssäkerhetsarbete. För Stockholms Stadshus ABs räkning har vice vd fastställt en lokal anvisning som beskriver hur stadens övergripande ledningssystem för informationssäkerhet omhändertas inom bolaget. Vad påverkar Stockholms Stadshus ABs informationssäkerhetsarbete? För att upprätthålla ett informationssäkerhetsarbete som är aktuellt över tid ska Stockholms Stadshus AB ha ett riskbaserat förhållningssätt i sitt informationssäkerhetsarbete. Det innebär att verksamheten ska arbeta med att identifiera, bedöma och följa upp de informationssäkerhetsrisker som kan uppstå i verksamhetens informationshantering. Bolaget har ingen direkt operativ verksamhet gentemot t.ex. medborgare, kunder, hyresgäster men hanterar information vad gäller styrning, stöd och uppföljning av bolagen inom koncernen. Bolaget använder nästan enbart stadens centralt upphandlade verksamhetssystem. Omvärldsbevakning Budgetuppdrag • Moderbolaget Stockholms Stadshus AB har som uppgift att bl.a. svara för övergripande utveckling, strategisk planering, löpande översyn och omprövning, utöva ekonomisk kontroll och uppföljning, samt att utveckla styrformer och samspelet 2 Stockholms stads kvalitetsprogram (start.stockholm) 5 (12) mellan ägare, koncernledning och dotterbolag. I detta arbete samverkar bolaget med bland annat stadsledningskontoret vad gäller anvisningar och strategiska frågor inom informationssäkerhet. Samarbetet bör utvecklas den kommande treårsperioden. • I budget 2024 och 2025 hade samtliga förvaltningar och bolag i uppdrag att fortsätta öka beredskapsförmågan, exempelvis genom att analysera och hantera risker och sårbarheter samt genom krisledningsplanering, kontinuitetshantering, systematiskt informationssäkerhetsarbete, krigsorganisation samt årliga, obligatoriska krisledningsövningar. Detta uppdrag ligger kvar 2026. • Moderbolaget ska delta i arbetet inom stadens sektorsorganisation för civil beredskap genom deltagande i de två sektorerna energiförsörjning och finansiella tjänster samt deltagande i deras motsvarande stadsövergripande beredskapsråd samt i styrgruppen för civil beredskap. Övrigt • NIS2-direktivet (Network and Information Systems Directive 2 - Cybersäkerhetslagen) Regeringen beslutade den 11 december 2025 om en ny cybersäkerhetslag och cybersäkerhetsförordning. Dessa träder i kraft den 15 januari 2026. NIS2 är en uppdatering av det tidigare NIS-direktivet. Stockholms Stadshus AB har inte omfattats av det tidigare NIS-direktivet men några bolag inom koncernen har gjort det. Syftet med NIS2 är att säkerställa en hög nivå av informationssäkerhet i hela EU genom att stärka skyddet av samhällsviktiga tjänster som en följd av den ökade digitaliseringen och hotbilden av cyberhot. Varje verksamhetsutövare ska avgöra om de omfattas av cybersäkerhetslagen och anmäla sig till Myndigheten för samhällsskydd och beredskap (MSB) när lagen träder i kraft. För stadens samtliga stadsdelsförvaltningar och fackförvaltningar är kommunstyrelsen verksamhetsutövare och staden omfattas av sektorn ”offentlig förvaltning”. Säkerhetsavdelningen ansvarar, på kommunstyrelsens uppdrag, för att genomföra anmälan. För 6 (12) bolagen gäller däremot att respektive bolag i egenskap av verksamhetsutövare själv ska identifiera om verksamheten omfattas av cybersäkerhetslagen samt genomföra anmälan till tillsynsmyndigheten. För vissa bolag är det tydligt att de omfattas utifrån att de tidigare träffats av NIS eller att kärnverksamheten ingår i någon av sektorerna i NIS2. Utmaningar i tolkningen består bland annat i tolkning av sektorer som digital infrastruktur och elektricitet där t.ex. fiber och solceller finns i vissa fastighetsbolag. Stadshus ABs bedömning är att bolaget inte omfattas av NIS2, eftersom bolaget inte uppfyller något av verksamhetskriterierna. • Centralt i staden pågår ett utvecklingsarbete med processen för leverantörsuppföljning av centrala avtal med fokus på informationssäkerhetsfrågorna. • Staden centralt har under 2025 utvärderat stadens befintliga ledningssystem för informationssäkerhet (LIS). Utvärderingen visar att dagens LIS behöver förändras för att mer ändamålsenligt möta de nya säkerhetsbehoven. Bland annat behövs standardisering av basprocesser inom informationssäkerhet och dataskydd. Med basprocesser menas bland annat arbetet med registerförteckning, klassning, riskanalys och hygienfaktorer inom it-säkerhet. Även förbättrad incidenthantering är ett område som behöver utvecklas under 2026 enligt utvärderingen. Årsredovisningslagen har anpassats till nya EU-direktiv (CSRD) om hållbarhetsredovisning. De nya kraven är väsentligt mer långtgående och kommer kräva utökade resurser men också mer insamling och redovisning av jämförbar och transparent data/information från dotterbolagen till bolagskoncernens redovisning. Bolaget har valt att använda en ny modul i Stadens system för integrerad ledning och styrning – ILS. Informationssäkerhetsperspektivet har ingått vid utformningen av modulen. • I slutet av 2023 antogs ett nytt gallringsbeslut av Stadsarkivet vad gäller personalhandlingar. Stockholms Stadshus ABs avsikt var att dessa skulle användas som grund för arbetet med att ta fram tilläggsavtal till extern löneadministratör vad gäller gallring och arkivering av personalhandlingar i enlighet med det föreläggande bolaget 7 (12) fick vid den inspektion som gjordes av Stadsarkivet hösten 2022. Efter vidare utredning med hjälp av arkivkonsult på Stadsarkivet och avstämning med extern löneadministratör finns det dock begränsningar i att genomföra gallring i enlighet med beslutet. Utredningen har istället föreslagit att en särskild gallringsframställan för de bolag som gemensamt använder detta system tas fram och hemställas till Stadsarkivet 2025. Detta har inte slutförts under året, arbetet fortsätter 2026. • Stadens centrala informationssäkerhetsfunktion har tidigare rekommenderat Stockholms Stadshus AB att ansluta sig till registerförteckningsverktyget Draftit Privacy Records. Efter resonemang med bolagets externa dataskyddsombud är bolagets bedömning att det finns många fördelar med att använda Draftit men att Stockholms Stadshus AB som relativt litet bolag med elva anställda i dagsläget uppfyller kraven med den registerförteckning som finns upprättad idag i Excel. Argumenten är att bolaget har en relativt liten verksamhet som inte motiverar ett systemstöd, det skulle vara resurskrävande att föra över informationen i ett nytt system och det skulle skapa sårbarheter att uppgifterna finns i ett externt system som endast en medarbetare har utbildning i och tillgång till. Det finns i dagsläget inget ägardirektiv om att systemet måste användas. Staden centralt konstaterar att det idag är upp till varje förvaltning och bolag att upphandla och förvalta valfritt systemstöd för registerförteckning. Det finns ingen central styrning eller förvaltning av exempelvis DraftIT som många verksamheter valt att använda. Detta är en dyr, resurskrävande och ineffektiv modell för staden som helhet. Det finns därför planer på att istället gå över till en standardiserad funktionalitet för registerförteckning. Bolaget följer och anpassar sig efter nya direktiv under 2026. • Stadens centrala informationssäkerhetsfunktion har tidigare rekommenderat förvaltningar/bolag att ansluta sig till Klassa för systematisk informationsklassning av verksamhetens tillgångar. Bolaget använder nästan enbart stadens centralt upphandlade verksamhetssystem. Bolagets bedömning är att det finns många fördelar med att använda Klassa men att Stockholms Stadshus AB som relativt litet bolag med tio anställda och endast ett system som inte är centralt upphandlat uppfyller kraven på informationsklassning 8 (12) genom att säkerställa att centrala systemägare gjort normerande informationssäkerhetsklassningar för de system bolaget nyttjar i enlighet med DSOs rekommendationer. Argumenten är att bolaget har en relativt liten verksamhet som inte motiverar användandet av Klassa, det skulle vara resurskrävande att utbildas i och införa ett nytt system och det skulle skapa sårbarheter att endast en medarbetare har kunskap tillgång till systemet. Det finns i dagsläget inget ägardirektiv om att systemet måste användas. Under 2025 har informationsklassning dock utförts baserat på Bolagets information i majoriteten av de nyttjade systemen. Värdena är generellt lägre än de av staden normerande klassningarna. Dessa klassningar lagras ej i systemet Klassa. Risk och sårbarhetsanalys Stadens arbete med risk- och sårbarhetsanalys (RSA) bedrivs i en tvåårscykel. En ny cykel inleds 2026. Bolaget följer stadens risk- och sårbarhetscykel och instruktioner. I RSA 2024 gjordes bedömningen att bolaget saknar samhällsviktig verksamhet men har däremot prioriterad verksamhet vad gäller styrning och beslutsfattande för bolagskoncernen samt faktura- och lönehantering för bolaget. Analysen landade i ett antal åtgärdsförslag och kontinuitetshanteringsplaner att hantera bl.a. vad gäller bortfall av infrastruktur, antagonistiskt hot samt sociala risker. Dessa prövas på nytt i RSA 2026. Utöver bolagets egen risk- och sårbarhetsarbete kommer arbete ske inom områden som behandlas i stadens sektorsorganisation där Stadshus AB deltar i två sektorer. Bolaget har uppfattat att staden ser över hur styrdokument och RSA-metoden kan utvecklas för att anpassas till de krav som ställs i NIS2/Cybersäkerhetslagen/CER. Väsentlighets- och riskanalys (VOR) och internkontrollplan (IKP) Genom en tillräcklig intern kontroll skapas förutsättningar för att upptäcka och förebygga risker i verksamheten samt säkra tillgångar, förhindra förluster och oegentligheter. Under 2025 har arbetet med internkontroll utvecklats av stadsledningskontoret i samverkan med Stockholms Stadshus AB och nya tillämpningsanvisningar tagits fram för bolagen. Internkontrollplanen för 2026 är framtagen utifrån dessa tillämpningsanvisningar. 9 (12) Bland de obligatoriska processerna som ska ingå i väsentlighets och- riskanalysen finns Systematiskt informationssäkerhetsarbete. Stockholms Stadshus AB har bedömt att riskerna inom detta område (Fastställa krav genom informationsklassning, Fastställa lokal anvisning för informationssäkerhet, informationssäkerhet inom upphandlingsförfarande, lokal rutin för behörighetshantering, Registerförteckning över personuppgifter, rutin för incidenthantering) har låga riskvärden och dessa tas inte med i internkontrollplanen för 2026. Det finns tillräckliga rutiner för årlig översyn av behörighetshantering och registerförteckningen över bolagets personuppgiftsbehandlingar varför dessa inte längre behöver finnas med i internkontrollplanen. Risker som identifierats i GDPR-årsrapport GDPR-årsrapport är ett medel för styrelsen att ta emot de råd och rekommendationer som dataskyddsombudet (DSO) är skyldig att ge till ansvarig enligt dataskyddsförordningen samt för att få insyn i vad DSO:ns granskande arbete av verksamhetens status avseende integritet och dataskydd visar. Årsrapporten syftar till att nämnd/bolagsstyrelse ska kunna fatta beslut om prioriteringar, resurser och initiativ framåt. Detta samspel resulterar i att det blir enklare för ansvarig nämnd/bolagsstyrelse att visa hur de som personuppgiftsansvarig efterlever dataskyddslagstiftningen. I GDPR-årsrapport 2024 konstaterar DSO att verksamhetens dataskyddsarbete håller en hög nivå och att majoriteten av förra tillsynsårets föreslagna åtgärder har åtgärdats på ett lämpligt sätt. DSO har granskat de sex obligatoriska granskningsområdena samt ett antal områden utöver de obligatoriska. Inledningsvis konstaterar DSO att verksamheten i hög utsträckning uppfyller de krav som ställs enligt dataskyddsförordningen och enligt den aktuella rapporten. DSO återger nedan de områden där vissa brister ändå finns som kan och behöver åtgärdas: • DSO rekommenderar att de anställda får information om vad en personuppgiftsbehandling är och hur de ska gå tillväga vid en ny eller förändrad personuppgiftsbehandling, för att säkerställa att registerförteckningen återspeglar bolagets aktuella behandlingar. • DSO rekommenderar att bolaget slutför arbetet med att kontrollera att samtliga genomförda informationsklassningar är aktuella, relevanta och att bolaget vid behov reviderar klassningarna. 10 (12) • DSO rekommenderar att bolaget gör en inventering av samtliga pågående personuppgiftsbehandlingar som kan tänkas innebära hög risk för fysiska personers rättigheter och friheter för att säkerställa att alla nödvändiga bedömningar genomförs. • DSO uppmuntrar verksamheten att färdigställa en rutin för personuppgiftsincidenthantering som är anpassad för verksamhetens arbetssätt och övriga behov. • DSO rekommenderar att de anställda får tydlig information om hur de ska hantera sin e-post i förhållande till dataskyddsförordningen och allmänna handlingar. • DSO rekommenderar bolaget att ta fram riktlinjer för hur AI får användas i verksamheten, för att säkerställa att AI hanteras på ett sätt som är förenligt med dataskyddsförordningen. I samband med verksamhetsberättelse och bokslut tar bolaget del av dataskyddsombudets årsrapport för 2025 och stor hänsyn tas till eventuella rekommendationer till personuppgiftsansvarig som lämnas i rapporten. Nästa GDPR-årsrapport tas upp på koncernstyrelsemötet 13 april 2026. Förbättringar för verksamhetens LIS Stockholms Stadshus ABs lokala anvisning för informationssäkerhet Den 16 september 2025 fastställde vice vd bolagets reviderade version av Lokal anvisning för informationssäkerhet. Anvisningen är förmedlad till medarbetare, diarieförd och finns tillgänglig för alla medarbetare på bolagets gruppdisk. Åtgärder 2025 Under året har bland annat nedan arbete utförts: • Översyn av Lokal anvisning för informationssäkerhet. • Reviderad version av hanteringsrutin för informationssäkerhetsincidenter framtagen enligt rekommendation från DSO • Revidering av nyttjandet av incidentrapporteringssystemet IA på börjats 11 (12) • Behörighetshanteringsrutin efterlevd och dokumenterad. • Medarbetare har genomfört Stadens utbildningar i informationssäkerhet och dataskydd • Bolaget använder främst centrala system, men har påbörjat informationsklassningar för informationsmängden ur bolagets synvinkel i enlighet med DSOs rekommendationer • Bolagets Dataskyddsombud har hållit en utbildning i GDPR och hantering av personuppgifter för bolagets medarbetare • Bolaget har bidragit i stadens centrala arbete kopplat till personuppgiftsincidenten med miljödata. Bolaget omfattades inte av incidenten • Bolaget har sett över och förenklat hanteringsanvisningar för hantering av allmänna handlingar Åtgärder 3-årsplan Under 2026 ska Stockholms Stadshus AB prioritera att: • säkerställa att informationssäkerhetsfrågorna lyfts fram och ingår i det interna utvecklingsarbetet • säkerställa att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • Utföra informationsklassningar • årlig översyn av Lokal anvisning för informationssäkerhet • årlig översyn av lokal rutin för informationssäkerhetsincidenter inklusive personuppgiftsincidenter på bolaget • följa och vid behov uppdatera avtalshanteringsrutin • följa och vid behov uppdatera behörighetshanteringsrutin • ta fram gallringsframställan till Stadsarkivet för hantering av personaluppgifter i lönesystem • Se över och vid behov uppdatera bolagets hanteringsanvisningar för hantering av allmänna handlingar • Inleda ny risk- och sårbarhetsanalys där informationssäkerhet ingår i analysen • Följa stadens nya inriktning för standardisering av basprocesser inom informationssäkerhet och dataskydd Under 2027 ska Stockholms Stadshus AB prioritera att: • säkerställa att informationssäkerhetsfrågorna lyfts fram och ingår i det interna utvecklingsarbetet. 12 (12) • se till att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • gå igenom och uppdatera registret över personuppgiftsbehandlingar • årlig översyn av Lokal anvisning för informationssäkerhet • årlig uppdatering av Lokal incidenthanteringsrutin • årlig behörighetsrevision (identitet och åtkomst) • följa den framtagna rutinen för regelbundna informationsklassningar • ta fram plan/rutin för hantering av digitala personalhandlingar/digital personalakt • ta fram kontinuitetsplaner/åtgärdsplaner inom prioriterade verksamhetsområden utifrån RSA-analysSe över arkivfrågan kopplat till införandet ILS-modulen för hållbarhetsredovisning (CSRD). Under 2028 ska Stockholms Stadshus AB prioritera att: • säkerställa att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • säkerställa att genomgång av registret över personuppgiftsbehandlingar utförs • genomföra årlig översyn av Lokal anvisning för informationssäkerhet • genomföra årlig behörighetsgenomgång • genomföra uppföljningar av övrig rutindokumentation t ex avtalshanteringsrutin, incidenthanteringsrutin m.m. utförs. • följa den framtagna rutinen för regelbundna informationsklassningar Fastställd av vice vd 2026-01-08