Med regeringens proposition Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (2025/26:28) kommer det äntligen bringas klarhet i vad cybersäkerhet faktiskt är och inte minst leder den förhoppningsvis till en klart bättre informations- och cybersäkerhet. Ända fram till nu har många använt begreppet cybersäkerhet synonymt med it-säkerhet och gjort en klar gränsdragning mot informationssäkerheten. Behovet av en cybersäkerhetslag (CSL) ska verkligen inte förringas.
Med NIS2-direktivet höjer EU rösten och förväntar sig mer. NIS1-direktivet från 2016 är nog att se som ett misslyckande. Mängden informations- och cybersäkerhetsincidenter vittnar om att vi måste göra mer, mycket mer. Vi är många som tror att EU-kommer att ta ett ännu kraftigare grepp i form av en NIS-förordning som blir direkt tillämplig som svensk lag, likt GDPR. Det är inte rimligt att dörrarna gång efter annan lämnas vidöppna för de illvilliga krafterna. Det behövs inte några välrustade statsaktörer för att dra fördel av de frekvent blottade sårbarheterna.
Vad är cybersäkerhet? Cybersäkerhet är all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare av dessa system och andra personer. Låt dock inte detta överskugga att NIS2-direktivet och kommande cybersäkerhetslagen är ett bra och välkommet initiativ.
Vi behöver som sagt göra mer, mycket mer, för att vända en oroande trend där incidenterna växer i antal. Enligt propositionen är en incident en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem. Kort sagt: klassisk informationssäkerhet! De organisationer som har ett ledningssystem för informationssäkerhet med ett systematiskt och riskbaserat arbetssätt på plats har redan förstått.
Incidenterna vittnar dessvärre om ett betydligt sämre normalläge. Trots förbättrad kravställning så brister det i faktiska utförandet, inte minst i leveranskedjorna. Det är ett uppenbart faktum att det svaras ”ja” i upphandlingar utan vare sig självinsikt eller samvete. Det leder inte bara till direkt skada för verksamheter och individer, det snedvrider också konkurrensen på ett sätt som verkligen inte är önskvärt. Vissa av de tjänster som uppmärksammats senaste tiden har sannerligen inte få kravställare, tvärtom. Det är med andra ord inte bara leveranskedjorna som brister, utan också hur informations- och cybersäkerheten följs upp. Den som svarat ”ja” blir påkommen först när det brister.
Det har tagit oväntat lång tid för Sverige att omsätta NIS2-direktivet till svensk lag. Vi är sent ute och ställer nu vårt hopp till att riksdagen hörsammar regeringens önskan om ny lagstiftning på plats den 15 januari 2026. Ett stort tack till vår granne i öster, som i somras fick sin motsvarande cybersäkerhetslagstiftning på plats. Det har underlättat det förberedande arbetet även för oss i syfte att säkerställa följsamheten mot det som komma skall. Även ett tack till EU som tidigt tillgängliggjorde en genomförandeförordning för NIS2. Den riktar sig visserligen inte till alla som träffas av NIS2, men det hindrar inte att den används som måttstock.
Det är knappt tre månader kvar tills cybersäkerhetslagen träder i kraft. Låt dig inte distraheras av legaldefinitionerna – fokusera i stället på att vässa informations- och cybersäkerhetsarbetet. Inte minst det systematiska och riskbaserade arbetssättet. Alternativet ser vi tyvärr allt för ofta prov på. Som nation kan vi långt mycket bättre!
PS! På Säkerhetsdagen på Oscars den 2 december får du höra den spännande historieberättelsen om begreppen informations- och cybersäkerhet som ger ett oväntat perspektiv.
Författare: Thomas Nilsson