
Cybersäkerhet: strategi som tar kliv framåt – men med luckor
En närmare läsning av den nyligen lanserade nationella cybersäkerhetsstrategin ger en hel del att glädjas åt. Även om anslaget med ”en ny era av cybersäkerhet” kanske är att gå lite väl långt så finns här tecken på ett viktigt skifte. I förordet skriver nämligen ministern för civilt försvar Carl-Oskar Bohlin (M) att cybersäkerhet inte längre kan ”betraktas som enbart en teknisk fråga”. Det är inte det enda exemplet på att regeringen följer TechSveriges linje inom informations- och cybersäkerhet. Strategin är inte ett fall framåt denna gång, utan i flera delar faktiskt ett rejält kliv. På ett övergripande plan visar strategin, och stora delar av innehållet, också på den här regeringens höga – och höjda – ambitioner inom informations- och cybersäkerhet. Så långt goda besked.
Strategin ställer upp mål för år 2030 och ska följas av årliga handlingsplaner inom tre pelare:
- systematiskt och effektivt cybersäkerhetsarbete
- utvecklad kunskap och kompetensutveckling inom cybersäkerhet
- förmåga att förhindra och hantera cybersäkerhetsincidenter.
TechSverige har länge efterlyst en informations- och cybersäkerhetspolitik som tar sig an frågan på bredden. Regeringen för ett liknande resonemang just under rubriken ”nationell politik för cybersäkerhet”. Strategin har också accepterat att NIS 2-direktivet i praktiken skapar en struktur för cybersäkerhetsarbetet och ansvarsfördelningen, vilket återkommer på flera ställen i strategin. Det kan man ha åsikter om, men i kombination med att regeringen också har tagit till sig att cybersäkerhet är mer än en teknisk fråga så framstår det som den mest framkomliga vägen att ordna arbetet. Det bör fortsatt beaktas när ansvarsfördelningen ytterligare ska klargöras.
TechSverige har länge framhållit att det måste vara en marknadsledd utveckling inom området och att just kompetensfrågorna är det område där det offentliga kan lämna ett rejält bidrag till att höja cybersäkerheten. Så därför är det förstås välkommet att näringslivet direkt nämns i regeringens vision för hög cybersäkerhet och att det kräver ett fördjupat samarbete. Om regeringens önskade läge 2030 är att cybersäkerhet får genomslag från grundskola till högre utbildning, vilket vi ser som både självklart och nödvändigt, förutsätter det att hela utbildningskedjan får den inriktningen. I det sammanhanget duger det inte att prata om ”från skärm till pärm”. Det krävs digital medvetenhet och kompetens från start för att bygga grunden för välinformerade medborgare. Så, att cybersäkerhet, som en del av grundläggande digital kompetens, är alltmer sammankopplat med alla ämnesområden håller vi med om är ett önskat läge 2030 men det måste också återspeglas i åtgärder och handlingsplaner – även inom andra statsråds ansvarsområden.
Välkomna är också skrivningarna om att informationsdelningen mellan den privata och offentliga sektorn är ”outvecklad”. Minst sagt diplomatiskt uttryckt, men fortsättningen är hoppfull: informationsutbytet behöver framöver bland annat ”utgå ifrån och ta hänsyn till privata aktörers affärsintressen och sekretess för affärs- och driftförhållanden”. Strategin har faktiskt också som en resultatindikator att antalet företag verksamma inom cybersäkerhet ska ha ökat.
Huvuddelen av hotbildsbeskrivningen i strategin känns igen av dem som har följt den här frågan. Viktiga tillägg, och faktiskt ett erkännande och i linje med TechSveriges syn, är att ”komplex reglering” och kostnader tas upp i just hotavsnittet, liksom att detta kan försvåra för enskilda företag. Enligt en rapport från undersökningsföretaget Radar uppger en majoritet av svenska verksamheter att utmaningarna ligger i tillgången till relevant intern kompetens. Att integrera regulatoriska krav i det dagliga arbetet är också en påtaglig svårighet. Radar noterar att de två områdena är nära kopplade: brist på tydlig vägledning och förståelse för hur lagar och regelverk ska införas leder ofta till att organisationer inte vet hur de bäst ska anpassa arbetssätt, processer och teknik. Därför är det också positivt att ett mål i strategin är förenklad regelefterlevnad, något som TechSverige framhåller även på andra områden som AI.
Positivt att ett mål i strategin är förenklad regelefterlevnad, något som TechSverige framhåller även på andra områden som AI.”
I hotavsnittet diskuteras också förtjänstfullt kompetensbristen som ett problem samt att regleringar faktiskt driver på den. Följaktligen är det viktigt hur man på nationell nivå och EU-nivå förhåller sig till regleringsivern som har funnits under de senaste åren. Här hade det kanske varit på sin plats med mer tydlighet om hur regeringen ser på de internationella frågorna, även om de nämns.
Det finns nackdelar med några av strategins tankar. Offentliga initiativ kring tekniska stöd, utbildning och säkerhetslösningar lyfts fram. Här måste det var tydliga avgränsningar av det offentliga åtagandet. Utvecklingen måste vara marknadsledd. Det kanske skulle beaktas mer i en strategisk kontext. Grundanslaget är också de antagonistiska hoten, det grundläggande och vardagliga säkerhetsarbetet är nödvändigt också för att skydda sig mot avancerade hot och aktörer. Den svenska cybersäkerhetsmarknaden har vuxit med 38 procent sedan 2021 och omsätter nu närmare 15 miljarder kronor (2024) enligt Radar. Vad strategin och de offentliga åtgärderna verkligen kan åstadkomma ska nog ses i ljuset av det: det verkliga, vardagliga och viktiga informations- och cybersäkerhetsarbetet sker helt enkelt främst utanför de ramar och satsningar som beskrivs i strategin. Det i sig borde också föranleda mer utvecklad syn på just denna strategiska förutsättning.
Något förvånande och allvarligt är att regeringen misslyckas med en av sina egna huvuduppgifter – att fördela ansvaret mellan statliga myndigheter. På några viktiga punkter säger regeringen – efter halva mandatperioden – att man ber att få återkomma i frågan. Vidare lämnas en lucka av okänd storlek i hela strategin. I den knappast uttömmande bilagan om roller och ansvarsområdet skriver regeringen att det, utöver NIS-regleringen, finns andra ”relevanta regelverk med cybersäkerhetskrav som omfattas av tillsyn”, men att de ”inte berörs närmare i strategin”. En slags strategisk walkover – vi får inte ens en närmare redogörelse för vilka regelverk det gäller. I handlingsplanen finns över 70 åtgärder. På samma tema framstår det som lite udda, eller i alla fall inte handlingskraftigt, att räkna pågående arbete inom ramen för en myndighets ordinarie arbete eller till exempel tillsynsuppgifter som följer av annan lagstiftning som ”åtgärder”.
I den tidigare presenterade nationella säkerhetsstrategin för hela Sverige var bilden att digitalisering kanske var bra men främst riskfylld. Cybersäkerhetsstrategin vittnar om en mer nyanserad bild av vad digitaliseringen innebär för Sverige och vår säkerhet och en rimligare hållning i hur man ska sköta säkerhetsarbetet.
Till sist hörsammade regeringen också TechSveriges uppmaning att strategin skulle vara en skrivelse till riksdagen. Informations- och cybersäkerhetspolitiken är en bred samhällsfråga – därför bör riksdagen komma in i processen. Så blir det nu, men för att få en helhetsbild av regeringens hela syn på vad digitaliseringen betyder för Sverige och säkerhet får vi kanske ändå vänta på den av civilminister Erik Slottner (KD) sedan länge aviserade digitaliseringsstrategin.
Fredrik Sand
Näringspolitisk expert