Ny cybersäkerhetsstrategi för Sverige – säkrar svensk konkurrenskraft
I slutet på mars presenterade regeringen en ny cybersäkerhetsstrategi, som ska gälla från 2025 till och med 2029. Men vad är det bästa med den, vad saknas och var behöver vi tänka till lite extra? Här delar jag mina spaningar.
”Sverige har länge dragit stor nytta av digitaliseringens möjligheter, men historiskt sett har cybersäkerhet ofta fått stå tillbaka för andra prioriteringar. Det är inte längre ett alternativ. Dagligen utsätts myndigheter, företag och enskilda individer för cyberangrepp i varierande omfattning, och mycket talar för att hotet kommer fortsätta öka. AI, maskininlärning och framtida kvantdatorer är fantastiska tekniker, men medför också ytterligare risker. Cybersäkerhet kan därför inte längre betraktas som enbart en teknisk fråga; i dag är det en grundpelare för vårt samhälles motståndskraft och en central del av det moderna civila försvar som nu byggs upp.”
Detta är andra stycket i den nationella strategin för cybersäkerhet som Carl-Oskar Bohlin presenterade i den 20:e mars 2025. Ett stycke jag tycker beskriver dagsläget och orsaken till den dåliga formen på den svenska cyberdomänen.
Ska det här bli ännu en gnällblogg om att vi behöver skärpa oss? Nej, det slutar vi med här och nu. Vi vänder blad och tittar framåt.
Ett tydligt “hur” är en nyckel till framgång
När vi bestämmer oss i Sverige blir vi bra, ibland bäst, och vi ska inte bli bäst i världen utan ”Regeringens vision är ett motståndskraftigt Sverige med en hög nivå av cybersäkerhet, där samhällsviktig verksamhet kan upprätthållas även vid cybersäkerhetsincidenter.” Ganska rimligt, eller hur? Överlag klarar sig organisationer som säkerställer en hög lägstanivå bra.
Sen ska såklart vissa organisationer vara i världsklass.
Regeringen visar framfötterna med ett ”Ett välfungerande Nationellt cybersäkerhetscenter (NCSC) som bidrar till att samordna samhällets arbete med att stärka den nationella cybersäkerhetsförmågan behövs och kommer också sektorsansvariga myndigheter till gagn i deras arbete med att ta fram välanpassade krav.”
I stycket ovan tror jag att vi har den första nyckeln till framgång. Att vi får ett tydligt, och anpassat, ”HUR” är bra. Bidrag till strategin kommer från offentlig och privat sektor där en nyckel är samarbetet dem emellan, inklusive försvaret i fredstid.
Den andra nyckeln är avstampet i den ”vanliga” nationella säkerhetsstrategin, NIS2 och Sveriges behov. Denna strategi rimmar alltså med det vi redan har ställt in oss på och adresserar säkerhetsåtgärder med teknik, i organisation/arbetssätt och för människor.
Tre pelare i cybersäkerhetsstrategin
Strategin pekar på tre pelare, med ett antal mätbara mål kopplat, som inriktning:
A - Systematik och effektivitet (ledning) – här är motorn till en bättre cybersäkerhet med kontinuitet, relevans och förbättring. Över tid, inte bara idag.
1. Ökat cybersäkerhetsarbete hos privata och offentliga organisationer
2. Stärkt cybersäkerhet i statlig och kommunal förvaltnings informationshantering
3. Stärkt säkerhetsarbete inom kritisk infrastruktur
4. Robustare digitala leveranskedjor och minskat beroende
5. Förenklad regelefterlevnad och stärkt funktionellt tillsynsarbete
6. Utvecklat stöd för små och medelstora företags cybersäkerhetsarbete
B - Kunskap och kompetens (alla) – att kunna är en förutsättning för att göra bra och rätt men också övning för att få vana.
7. Ökad cybersäkerhetsmedvetenhet och cyberhygien hos allmänheten
8. Stärkt kompetensförsörjning, utbildning och fortbildning inom cybersäkerhet
9. Stärkt forskning och innovation på cybersäkerhetsområdet
10. Stärkt förmåga att hantera framväxande teknologiers risker och möjligheter
C - Incidenthantering (förmåga) – en viktig förmåga vilket inte får blandas ihop med kapacitet. Upptäcka, hantera och återställa. Övning centralt även här.
11. Effektivare och säkrare informationsdelning nationellt och internationellt
12. Stärkt privat-offentlig hantering av cybersäkerhetsincidenter
13. Utvecklad förmåga att förebygga och bekämpa cyberbrott
TIllsyn för kontroll av efterlevnad
Carl-Oskar Bohlin använde ordet ”styråra” om strategin och att den inte får bli en ”hyllvärmare”. Här är bilagorna med handlingsplan och organisation med roller bra. Det är tydligt vad och vem som ska göra verkstad. Vi kommer få ett tydligare HUR i de införandeakter som ENISA (?) kompletterar NIS2 med.
Små och medelstora företag glöms inte bort utan pekas snarare ut som ett fokusområde.
Det sista jag vill ta upp är tillsyn för kontroll av efterlevnad, ”tillit är bra men kontroll är bättre” ni vet. Något jag har varit orolig för är att olika tillsynsmyndigheter ska ha olika krav på hur olika cybersäkerhetsåtgärder ska förverkligas, t.ex. incidenthanteringsförmåga. I strategin är det tydligt att det ska vara enkelt och tydligt, regelverket ensat. Bra.
Svenska företags konkurrenskraft
Det jag kan sakna är morötter, vad får vi om vi är bäst? Äran? Det kan vara gott nog men vad händer om vi inte tar till oss strategins budskap och innehåll är det vi ska fundera på, speciellt om andra EU-länders företag exekverar snabbare. Så sakteliga kommer det finnas en förväntan på oss att vi ska leva efter detta och sannolikt kommer det upphandlingskrav.
På sikt kommer detta leda till att vår konkurrenskraft i Sverige stärks. Jag tycker denna strategi är bra, den är ett tydligt statement att cybersäkerhet är viktigt och den pekar oss också i en tydlig riktning.
Ps. Får vi skryta lite på Atea? Vi är riktigt bra rustade inom dessa pelare. Ds.
