Cybernodens krönika

Krönikör: Johanna Parikka Altenstedt, koordinator Cybernoden

2025-04-14

Cybersäkerhetsstrategin och ansvarsprincipen

Det är mycket välkommet med en ny nationell cybersäkerhetsstrategi, som lyfter många olika områden där vi måste höja robustheten och incidentberedskapen. Samtidigt ställer den stora krav på olika samhällsaktörer för att klara av skarpa lägen.

Jag har alltid varit fascinerad av ansvarsprincipen som gäller vid samhällskriser i Sverige. Den som ansvarar för driften ska även vanligtvis ansvara för krishanteringen och krisledningen hos sig. Det är en fin tanke och bygger på tillit om att alla gör det de ska, när de ska. Men i praktiken brukar driftansvariga både inom ledningen och verksamheten varken ha tid eller resurser för att skapa en krisorganisation, om man inte är tvingad eller har haft en allvarlig incident då det mesta gick åt skogen.

Sveriges nya nationella strategi för cybersäkerhet (Skr. 2024/25:121) kom ut den 20 mars och är en del av den nationella implementeringen av NIS2 -direktivet. Strategin innehåller tre viktiga pelare; Systematiskt och effektivt cybersäkerhetsarbete, Utvecklad kunskap och kompetens inom cybersäkerhet, Förmåga att förhindra och hantera cybersäkerhetsincidenter. Regeringen konstaterar att ansvarsprincipen gäller även på cyberområdet, dvs att den som i normala fall ansvarar för en verksamhet, till exempel en statlig myndighet eller kommun, också har detta ansvar under en krissituation. Det kräver en enorm koordinering att få med sig alla länkar i kedjan.

Många av strategins 13 delmål följer av kravbilden från NIS2 -direktivet. Därför har regeringen även tagit fram en handlingsplan för alla de identifierade och inblandade aktörer som ska uppfylla strategins mål. Jag roade mig med att räkna dessa till minst 31 när vi räknar länsstyrelserna, kommunerna och regionerna som en aktör var, och inte varje kommun (290 st), region (21 st) och länsstyrelse separat (21 st). Tillsammans med dessa tre kategorier utgör NCSC, MSB, CERT-SE, blivande cyberkrishanteringsmyndighet, Säkerhetspolisen, Försvarsmakten, IMY, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket, PTS, Socialstyrelsen, Mediemyndigheten, Sveriges Riksbank, Läkemedelsverket, Stöldskyddsförening, Vetenskapsrådet, Vinnova, RISE, Cybercampus och Cybernoden aktörerna som regeringen nämner som viktiga spelare i sin strategi och handlingsplan.

Frågor som kvarstår är: kommer vi finna nödvändiga samverkansformer och samarbeten sinsemellan – även med privata aktörer – som krävs för att skapa en robust cybersäkerhet för Sverige? Kommer vi kunna agera proaktivt och snabbt vid stundande hot och risker? Är uppdelningen mellan departementen tydlig? Kommer alla ha styrt upp sin egen cyberkrisverksamhet i tid, övat tillräckligt och skapat en beredskap som fungerar vid kriser? Har regeringens ministrar med sektorsansvar en tydlighet vid kriser eller höjd beredskap? Ska alla dessa leda sig själva utifrån ansvarsprincipen?

Med tanke på att Sverige just nu är utan formellt undantag från EU sju månader försenad med den nationella implementeringen av NIS2 och att cybersäkerhetslagen inte förväntas bli klar och träda i kraft innan årsskiftet, känns det som att cybersäkerhetsfrågan har hamnat i långbänk. Nu är det viktigt att visa att företag och medborgare kan lita på att dessa frågor leds tydligt, professionellt och effektivt. Annars kan det vara så att få tar aktivt ansvar enligt ansvarsprincipen i ett skarpt läge. När krisen slår, då har man inte tid att börja förhandla om roller och mandat – då måste alla veta exakt sitt ansvar och kunna ta det.