S:t Erik Försäkrings ekonomi och informationssäkerhet 2026-2028

[4 Finansiell månadsrapport 260331 St Erik Försäkrings AB.pdf] Finansiell månadsrapport S:t Erik Försäkrings AB Rapport till bolagets styrelse i enlighet med Finanspolicy för Stockholms Stadshus AB (§4.2). Bolagets tillgång Tillgången uppgick vid slutet av månaden till 483 mnkr. Totalt är det en ökning med 67 mnkr sedan förra månaden. Räntan för månaden var 2,2%. Tabell 1: Bolagets tillgång (mnkr) 2026-03-31 2026-02-28 Tillgång 483 416 Borgensåtagande 0 0 Totalt 483 416 Diagram 1: Utveckling 5-årsperiod för tillgången (mnkr) Kommunkoncernens finansiella ställning Räntan på kontot bestäms av snitträntan för kommunkoncernens externa skuld. Nedan ges en överblick av kommunkoncernens finansiella ställning samt ramar och limiter. Finanspolicy för kommunkoncernen Stockholms stad fastställdes den 19 november 2025 av kommunfullmäktige och gäller från den 1 januari 2026. Bilaga A till Finanspolicy för kommunkoncernen Stockholms stad fastställdes den 17 december 2025 av kommunstyrelsens ekonomiutskott och gäller från den 1 januari 2026. Tabell 2: Kommunkoncernens finansiella ställning* Limit Extern upplåning totalt (mnkr) max 110 000 Extern nettoupplåning (mnkr) Duration (år) inom 1,25-3,75 Ränteförfall inom 1 år max 75% Kapitalförfall inom 1 år max 30% Betalningsberedskap (mnkr) min 10 000 * Finansiell månadsrapport för mars 2026 för kommunkoncernen Stockholms stad tas upp i kommunstyrelsens ekonomiutskott den 29 april 2026. Extern skuldförvaltning hanteras i en skuldportfölj. 2026-02-282026-03-31 21 835 1,88 88 43588 338 44,2% 16,8%13,4% 83 610 83 587 mars 2026 21 717 43,0% 1,90 0 100 200 300 400 500 600 700 mar-21 sep-21 mar-22 sep-22 mar-23 sep-23 mar-24 sep-24 mar-25 sep-25 mar-26 Diagram 2: Duration (år) för kommunkoncernens externa skuldportfölj Prognos för kommunkoncernens snittränta Diagrammet nedan visar historik samt en prognos inklusive osäkerhetsintervall för kommun- koncernens snittränta tre år framåt i tiden. Prognosen utgår från dagens skuld, nu kända flöden och den framtida ränteutveckling som är inprisad på marknaden (implicita terminsräntor). Diagram 3: Historik och prognos* för kommunkoncernens snittränta (%) exklusive marginal och omkostnadsersättning * Baserat på historiska utfall är sannolikheten 70% att framtida räntenivåer befinner sig inom de streckade linjerna Marginaler för kommunkoncernens bolag är anpassade till respektive bolag på löpande basis. Nivåer gäller från den 1 januari 2026 och gäller till den 30 juni 2026. Inlåningsmarginal för bolaget uppgår till -0,20 procent. Risken vid annat ränteutfall Om ränteprognosen inträffar kommer bolagets ränteintäkt med nuvarande tillgång att bli 12,1 mnkr, beräknat inkl marginal och omkostnadsersättning, för den kommande 12-månadersperioden. En känslighetsanalys med en procentenhets räntenedgång ger motsvarande ränteintäkt om 7,2 mnkr. Räntekänsligheten är därmed -4,9 mnkr. Internbanken debiterar inte negativ ränteintäkt. 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5 mar-21 mar-22 mar-23 mar-24 mar-25 mar-26 Duration enligt finanspolicy* Limit 1,25-3,75 år * Genomsnittlig räntebindningstid inklusive derivat 0,0 0,5 1,0 1,5 2,0 2,5 3,0 3,5 4,0 4,5 Snittränta, utfall och prognos Historik Prognos Övre osäkerhetsintervall Undre osäkerhetsintervall Tabell 3: Ränteprognos för bolagets månadsränta inklusive marginal och omkostnadsersättning Inlåningsränta 2,27 2,36 2,36 2,39 2,47 2,50 2,52 2,56 2,58 2,60 2,65 2,66 2,72 2,74 2,75 2,75 2,76 2,76 2,77 2,77 2,77 2,77 2,78 2,78 2,82 2,81 2,82 2,85 2,85 2,85 2,86 2,86 2,86 2,86 2,88 2,89 jan-27 feb-27 okt-26 nov-26 maj-26 jun-26 dec-26 jul-26 aug-26 sep-26 jan-29 Månad apr-26 maj-28 apr-28 jun-28 aug-27 apr-27 maj-27 jun-27 jul-27 mar-27 mar-29 mar-28 feb-28 sep-27 dec-27 jan-28 nov-27 okt-27 feb-29 jul-28 aug-28 sep-28 okt-28 nov-28 dec-28 Marknadskommentarer per 2026-03-31 Bilaga I Sammanfattning Geopolitisk oro i mellanöstern innebär ett fortsatt mycket osäkert marknadsläge. Hormuzsundet, i vilket ca 20 % av all olja och gas passerar, har ännu ej öppnats och har medfört kraftigt stigande oljepriser. Avvaktande konsumenter och låg inflation i Sverige under mars. Internationellt et har varit en månad präglad av osäkerhet och geopolitik styr för närvarande utvecklingen på de finansiella marknaderna. Den pågående konflikten i mellanöstern, som inleddes den 28 februari, har särskilt skakat om råvarumarknaderna. Oljepriset (Brent) har sedan konfliktens start stigit med över 50 % och enligt bedömare kan oljepriset komma att bli ännu högre om sundet förblir stängt. Även andra varor påverkas exempelvis aluminium, gödsel, naturgas, helium som är viktiga insatsvaror och där mycket av dessa i vanliga fall passerar Hormuzsundet. Ungefär 20 % av världens olje- och gasproduktion går igenom det nu stängda Hormuzsundet. Köparna finns framförallt i Asien så där kan det leda till brist, men prisuppgången påverkar hela marknaden. Saudiarabien som är världens näst största producent skickar nu ca 2/3 av sin produktion istället via rörledningar västerut till Röda havet för transport vidare därifrån genom Bab al-Mandeb sundet. Osäkerhet kring konfliktens utgång och långvarighet gör att volatiliteten på världens finansiella marknader är hög. Globalt har såväl korta som långa räntor stigit på förväntad högre inflation. Världsmarknadsindex (MSCI World) minskade med cirka 4,3 procent under månaden. Europa uropa som är en stor importör av olja och gas påverkas av prisuppgången. Den europeiska centralbanken, ECB, som hade ett möte i mitten av månaden behöll sin styrränta oförändrad på 2 % men betonade riskerna för ökad inflation i spåren av olje- och gasprisuppgångarna. Inflationen i Eurozonen för mars månad var 2,6%, en ökning från månaden innan. Inköpschefsindex steg till 51,6 för mars, vilket indikerar en fortsatt återhämtning för ekonomin i Eurozonen. Sverige arknaden förväntar sig att Riksbanken höjer några gånger under det närmste året, det är en rejäl omsvängning från tidigare i år då marknaden trodde på en oförändrad eller sänkt styrränta. Men både Riksbanken själva och flera andra bedömare prognosticerar en oförändrad ränta. Idag är det oklart vilka effekter de nuvarande högre olje- och gaspriserna får. Regeringen D E M mildrar de direkta effekterna från oljeprisuppgången med tillfälligt sänkt skatt på bensin och diesel under perioden 1 maj till 30 september 2026. Privatpersoners konsumtion ökade mindre än föregående månad. Inflationen enligt Riksbankens målvariabel för inflation (KPIF) landade på låga 1,6%. Den 1 april sänks matmomsen från 12% till 6%, vilket antas hålla nere inflationen också. Sverige har därmed ett lågt inflationstryck som utgångsläge, men när finansmarknaden ser allt större risk för högre inflation prissätts flera räntehöjningar från Riksbanken. Alla räntor har stigit under månaden, exempelvis har den statliga 10-årsräntan stigit med 0,4 procentenheter. Den svenska kronan tappade under mars mot de flesta större valutor. Euron blev 30 öre dyrare, den amerikanska dollarn stärktes mot kronan i samma omfattning. Vid månadsskiftet kostade en US dollar 9,46 kronor och en euro 10,94 kronor. Stockholmsbörsen, inklusive utdelning, avkastade under mars -7,5 % och ackumulerat under 2026 -1,2 %. . --- [5 Ledningens genomgång SterikF 2025.pdf] Ledningens genomgång år 2025 samt 3-årsplan S:t Erik Försäkring Beslutad 2025-12-03 Reviderad [datum] Ledningens genomgång Dnr: SEF 2025/50 Kontaktperson: Johan Gagner Ledningens genomgång är ett begrepp inom informationssäkerhet som syftar till att de som ansvarar för informationssäkerheten inom en organisation, minst årligen ska informera sig om hur arbetet går. Enligt Stockholms stads tillämpningsanvisning för informationssäkerhet ska förvaltningschef/bolagschef inhämta en rapport, så kallad ”Ledningens genomgång” från informationssäkerhetssamordnaren. Rapporten bör exempelvis redogöra för om det finns lokala rutiner för incidenthantering, för utbildning av medarbetare och om informationsklassningar och registerförteckning är genomförda. Denna rapportering ska ge information och underlag till förvaltningschef/bolagschef att årligen bedöma om det lokala informationssäkerhetsarbetet och dataskyddsarbetet är tillräckligt och har önskad verkan. Förvaltnings- och bolagschefer ska ta upp aktiviteter som rör informationssäkerhet och dataskydd i verksamhetsplaneringen och i det interna arbetet med att uppnå tillräcklig intern kontroll.1 I Anvisningar för nämndernas arbete med verksamhetsplan 2024 uppmanades samtliga nämnder och bolagsstyrelser att ta fram en Ledningens genomgång med en planering för informationssäkerhetsarbetet under de efterföljande tre åren. Denna bilades verksamhetsplanen. Riktlinje för informationssäkerhet i Stockholms stad följdes i denna planering. Dessa aktiviteter redovisas i Ledningens genomgång. Inventering och informationsklassning är grunden i informationssäkerhetsarbetet. Alla nämnder och bolagsstyrelser ska prioritera att ta fram en plan för att inventera och klassa information som används i verksamheten alternativt se över och uppdatera genomförda klassningar. 1 Tillämpningsanvisning till stadens riktlinje för informationssäkerhet 3 (8) Innehållsförteckning 1 Ledningssystem för informationssäkerhet, LIS ......................... 4 1.1 Vad påverkar S:t Erik Försäkrings informationssäkerhetsarbete? .. 4 1.1.1 Omvärldsbevakning .................................................................... 4 1.1.2 Risk och sårbarhetsanalys .......................................................... 5 1.1.3 Risker som identifierats i GDPR-årsrapport ............................... 5 2 Förbättringar för verksamhetens LIS ........................................... 6 2.1 S:t Erik Försäkrings lokala anvisning för informationssäkerhet ....... 6 3 Åtgärder 2024 ................................................................................. 6 4 Åtgärder 3-årsplan ......................................................................... 6 4.1 Under 2026 ska S:t Erik Försäkring ................................................. 6 4.2 Under 2027 ska S:t Erik Försäkring ................................................. 7 4.3 Under 2028 ska S:t Erik Försäkring ................................................. 7 4 (8) 1 Ledningssystem för informationssäkerhet, LIS Stockholms stads arbete med informationssäkerhet utgår från en så kallad ISO standard, ISO 27001. Det är en global standard för informationssäkerhet som hjälper organisationer att skydda sin känsliga information från hot och risker. Standarden ger ett ramverk för hur man implementerar ett ledningssystem för informationssäkerhet, LIS, som skyddar informationstillgångarna och ger en IT-process som är lättare att hantera, mäta och förbättra. Stockholms stads informationssäkerhetsarbete regleras i en tillämpningsanvisning som är en bilaga till stadens Kvalitetsprogram2. Till riktlinjen finns tillämpningsanvisningar som är fastställda av stadsdirektören. Tillämpningsanvisningarna reglerar ansvar och roller sett till Stockholms stads systematiska informationssäkerhetsarbete. För S:t Erik Försäkrings räkning har VD fastställt en så kallad lokal anvisning som beskriver hur stadens övergripande ledningssystem för informationssäkerhet omhändertas inom bolaget. 1.1 Vad påverkar S:t Erik Försäkrings informationssäkerhetsarbete? För att upprätthålla ett informationssäkerhetsarbete som är aktuellt över tid ska S:t Erik Försäkring ha ett riskbaserat förhållningssätt i sitt informationssäkerhetsarbete. Det innebär att verksamheten ska arbeta med att identifiera, bedöma och följa upp de informationssäkerhetsrisker som kan uppstå i verksamhetens informationshantering. 1.1.1 Omvärldsbevakning • S:t Erik Försäkring lyder under försäkringsrörelselagen och de riktlinjer som Finansinspektionen utfärdar. Vidare omfattas bolaget av ett stort antal EU-förordningar för just försäkringsbolag. Regelverket är omfattande avseende intern styrning och kontroll. • På informationssäkerhetsområdet finns särskilda regler för försäkringsbolag som inte omfattar staden i övrigt, EBA:s riktlinje GL/2019/02, EIOPA 20-002, Eiopas riktlinjer (20/600) för säkerhet och företagsstyrning avseende information och kommunikationsteknik (IKT). 2 Stockholms stads kvalitetsprogram (start.stockholm) 5 (8) • Regelverket DORA (Digital Operational Resilience Act), är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och it-problem. Med införandet av en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter. • S:t Erik Försäkring ingår i ett nätverk av kommunala försäkringsbolag. Samarbete gällande IKT risker utifrån ovan regelverk sker i detta nätverk. 1.1.2 Risk och sårbarhetsanalys Stadens arbete med risk- och sårbarhetsanalys (RSA) bedrivs i en tvåårscykel. En ny cykel inleddes under 2024. Bolagets organisation avseende riskhantering är organiserat med för försäkringsbolag lagstadgade centrala funktioner (riskhanteringsfunktion, regelefterlevnadsfunktion, internrevision samt aktuarie) samt därutöver ISAM och DO. Vad avser RSA hanteras dessa risker av verksamheten i samarbete med bolagets ovan beskrivna riskhanteringsfunktion. Varje risk har en riskägare och åtgärdsplan (såvida inte risken accepteras). Riskhanteringsfunktionen rapporterar risknivåer, riskhantering m.m. till styrelsen vid varje styrelsemöte samt vid behov. Riskhanteringsfunktionens arbete kontrolleras av internrevisionen. 1.1.3 Risker som identifierats i GDPR-årsrapport Dataskyddsombudet har i årsrapporten skrivit att information om tekniska och organisatoriska åtgärder, bland annat 1. Verksamheten bör klassa samtlig informationshantering och uppdatera tidigare gjorda klassningar. För information i centrala system (stadens) kan ev. utförda centrala klassningar dokumenteras och justeras efter verksamhetens förutsättningar. 2. Verksamheten bör göra en konsekvensbedömning av behandlingen i IA samt uppdatera de andra gjorda konsekvensbedömningarna. 3. Behörighetsrevision ska utföras och dokumenteras. Dessa tre punkter har omhändertagits under året. 6 (8) 2 Förbättringar för verksamhetens LIS 2.1 S:t Erik Försäkrings lokala anvisning för informationssäkerhet Den 20 februari 2023 fastställde Tf Vd bolagets Lokala anvisning för informationssäkerhet. Anvisningen är diarieförd och finns tillgänglig för alla medarbetare på bolagets gruppdisk. I samband med verksamhetsberättelse och bokslut tar bolaget del av dataskyddsombudets årsrapport och stor hänsyn tas till eventuella rekommendationer till personuppgiftsansvarig som lämnas i rapporten. 3 Åtgärder 2025 Under året har bl a nedan arbete utförts: • Inrapportering till Finansinspektionen avseende DORA regelverket • Informationsklassningar • Översyn av organisationen enligt PM3 (light) • hanteringsrutin för informationssäkerhetsincidenter uppdaterad • årlig översyn av lokal anvisning för informationssäkerhet • behörighetsrevision utförd • medarbetare certifierade i Stadens utbildningar gällande informationssäkerhet och dataskydd • årlig uppdatering av IT-avbrottsplan 4 Åtgärder 3-årsplan 4.1 Under 2026 ska S:t Erik Försäkring Under 2026 ska Bolaget prioritera att: 7 (8) • utföra PEN tester gentemot skadesystem • säkerställa att informationssäkerhetsfrågorna lyfts fram och ingår i det interna utvecklingsarbete som pågår inom verksamheten, särskilt för nya digitala tjänster som erbjuds. • se till att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • uppföljningar av registret över personuppgiftsbehandlingar utförs. • avseende IKT plan: ISAM ansvarar för att i samverkan med Objektledare i bolaget och bolagets regelefterlevnadsfunktion uppdatera planen (minst årligen) och tillse att den följs genom att hantera processer i planen. • årlig översyn av Lokal anvisning för informationssäkerhet • uppföljningar av övrig rutindokumentation t ex avbrottsplan, hanteringsrutin för informationssäkerhetsincidenter och behörighetsrevision utförs • följa den framtagna rutinen för regelbundna informationsklassningar. • öva utifrån kontinuitetsplaner/avbrottsplaner. 4.2 Under 2027 ska S:t Erik Försäkring Under 2027 ska Bolaget prioritera att: • se till att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • uppföljningar av registret över personuppgiftsbehandlingar utförs. • avseende IKT plan: ISAM ansvarar för att i samverkan med Objektledare i bolaget och bolagets regelefterlevnadsfunktion uppdatera planen (minst årligen) och tillse att den följs genom att hantera processer i planen. • årlig översyn av Lokal anvisning för informationssäkerhet • uppföljningar av övrig rutindokumentation t ex avbrottsplan, hanteringsrutin för informationssäkerhetsincidenter och behörighetsrevision utförs • följa den framtagna rutinen för regelbundna informationsklassningar. • öva utifrån kontinuitetsplaner/avbrottsplaner. 4.3 Under 2028 ska S:t Erik Försäkring Under 2028 ska Bolaget prioritera att: • se till att samtliga medarbetare genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd • uppföljningar av registret över personuppgiftsbehandlingar utförs. 8 (8) • avseende IKT plan: ISAM ansvarar för att i samverkan med Objektledare i bolaget och bolagets regelefterlevnadsfunktion uppdatera planen (minst årligen) och tillse att den följs genom att hantera processer i planen. • årlig översyn av Lokal anvisning för informationssäkerhet • uppföljningar av övrig rutindokumentation t ex avbrottsplan, hanteringsrutin för informationssäkerhetsincidenter och behörighetsrevision utförs • följa den framtagna rutinen för regelbundna informationsklassningar. • öva utifrån kontinuitetsplaner/avbrottsplaner. Fastställd av VD 2025-12-03