Ny nationell cybersäkerhetsstrategi – så påverkas företag, myndigheter och samhället

Ingen vill utsättas för en cyberattack, och precis som med många andra hot tittar vi först på de som är i vår närhet. Vi vill skydda oss själva, vi vill skydda familjen och vi vill skydda vårt företag och de som arbetar där. Men vem ska skydda de samhällsbärande funktionerna mot cyberhot? Vem ska försvara oss mot cyberkriminella aktörer som vill skada vår demokrati? Dessa frågor är mer relevanta än på länge med teknologi som utvecklas i rekordfart och ett osäkert omvärldsläge.

Ökat fokus på cybersäkerhet

Svaret är givetvis staten, som har ett övergripande ansvar för oss som bor i Sverige. Det innebär att de ska ha ett helhetsperspektiv och vidta övergripande åtgärder – men även hjälpa oss som bor och arbetar här att skydda oss själva och våra företag. Nu har regeringen tagit ett stort initiativ inom ramen för detta ansvar, de har antagit en ny nationell strategi för cybersäkerhet, som ska stärka det svenska samhällets digitala motståndskraft.

Syftet med denna cybersäkerhetsstrategi är att ange en tydlig riktning för Sveriges cybersäkerhetsarbete under de kommande fem åren (2025-2029) och ersätta den tidigare strategin från 2017. Regeringens vision är “ett motståndskraftigt Sverige med en hög nivå av cybersäkerhet, där samhällsviktig verksamhet kan upprätthållas även vid cybersäkerhetsincidenter”. Detta innebär att även om cyberangrepp inträffar ska kritiska tjänster och funktioner fortsätta fungera, så att samhället inte lamslås.

Så ska Sverige hantera framtidens cyberhot

Hotaktörer som statsstödda angripare, kriminella grupper och cyberaktivister pekas ut som centrala risker som Sverige måste kunna hantera. Strategin konstaterar att digitaliseringen berör nästan alla aspekter av samhälle och näringsliv, vilket gör att cyberincidenter kan få omfattande konsekvenser men på helt olika sätt. Därav tas avstamp i en bred analys av det aktuella hotlandskapet och för att möta dessa hot och sårbarheter identifierar strategin tre övergripande prioriteringsområden. Dessa områden benämns som pelare och fyller olika funktioner för att vi på bästa sätt ska kunna utveckla ett robust skydd på olika nivåer:

Pelare A: Systematiskt och effektivt cybersäkerhetsarbete

Den första pelaren betonar vikten av att verksamheter, såväl offentliga som privata, arbetar proaktivt och kontinuerligt med intern IT-säkerhet. I praktiken innebär det att införa ledningssystem för informationssäkerhet, regelbundet genomföra riskanalyser och vidta skyddsåtgärder i hela organisationen. Cybersäkerhet ska integreras i det löpande arbetet och inte ses som en engångsinsats. Även små och medelstora företag bör arbeta strukturerat med grundläggande skydd (exempelvis uppdaterade system, säkra lösenord och backup-rutiner) samt ha en plan för incidenthantering.

Pelare B: Utvecklad kunskap och kompetens

I den andra pelaren understryks behovet av att öka kompetensen inom cybersäkerhet i Sverige. Detta inkluderar satsningar på utbildning, forskning och medvetandehöjande insatser, vilket på sikt kommer att underlätta kompetensförsörjningen. Det hjälper dock inte företag – framförallt de mindre – här och nu. De som redan arbetar med IT-säkerhet behöver kontinuerlig fortbildning och företag uppmuntras även att höja den generella kunskapsnivån internt. Medarbetare på alla nivåer behöver baskunskaper i informationssäkerhet och ledningen behöver förstå strategiska risker kopplade till IT för att kunna vidta skyddsåtgärder som är relevanta. Detta är något som uppmärksammats i strategin och regeringens intention är att stimulera samarbete mellan myndigheter, näringsliv och akademi för att sprida kunskap och bästa praxis.

Pelare C: Förmåga att förhindra och hantera incidenter

I den sista pelaren skiftas fokus från preventiva åtgärder till konkret hantering av incidenter. Trots prioriteringar på förebyggande arbete kommer incidenter att inträffa, och då gäller det att kunna upptäcka och begränsa skadorna snabbt. Strategin betonar därför att Sverige måste stärka sin incidenthantering och krisberedskap inom cyberområdet. Det innebär bland annat att utveckla National Cybersecurity Center (NCSC) som nav för varningar och informationsdelning, förbättra möjligheterna att spåra och lagföra cyberbrottslingar samt öva respons på cyberangrepp. Inom ramen för denna pelare uppmuntras företag att ha rutiner för vad som ska göras vid exempelvis ett dataintrång eller driftstörning – och att samverka med branschkollegor och myndigheter när incidenter sker. Regeringen har även gett MSB i uppdrag att kartlägga kommunernas cybersäkerhetsförmåga och initierat åtgärder för att höja incidentberedskapen på lokal nivå.

Stärkt cybersäkerhet för små och medelstora företag

En central del av strategin är att höja säkerhetsnivån även hos mindre aktörer i samhället. Bland annat pekar strategin ut att “små och medelstora företag kan sakna ett tillfredsställande cybersäkerhetsarbete” på grund av resurs- och kompetensbrist. Därför innehåller strategin ett särskilt mål om “utvecklat stöd för små och medelstora företags cybersäkerhetsarbete”. Det innebär att staten ska underlätta för mindre företag att höja sin säkerhet, bland annat genom att förtydliga vägledningar, sprida kunskap och främja användning av säkra IT-tjänster. Teknikleverantörer uppmanas också ta ansvar för att leverera säkrare produkter och molntjänster som minskar riskerna för användarna.

En ny era för cybersäkerhet i Sverige

Sammanfattningsvis markerar den nationella strategin en ny era av cybersäkerhet i Sverige, där fokus skiftar från reaktivt skydd mot enstaka incidenter till att bygga heltäckande och kontinuerlig motståndskraft i hela samhället. För små och medelstora företag innebär detta ökat stöd, högre förväntningar på säkerhetsarbete och en tryggare digital miljö att verka i på sikt. Det innebär att vi på ett bättre sätt kan rusta oss för framtidens utmaningar samtidigt som vi drar nytta av digitaliseringens möjligheter på ett säkert sätt.

Vill du ta del av rapporten i sin helhet kan den laddas ner här