Veckan före årsdagen av Rysslands storskaliga aggression mot Ukraina publicerade Must sin årsöversikt – en allvarsam läsning. Att Rysslands agerande är riskbenäget är ingen överraskning. Att stormaktskonkurrensen hårdnar är desto mer bekymmersamt. Personaliseringen av makten kanske än värre. De internationella spelreglerna är satta ur spel och påverkan på cybersäkerheten är påtaglig.
Ytterligare en rapport som publicerades vid samma tidpunkt är Riksrevisionens granskning av infiltration i staten (RiR 2026:3). Riksrevisionen har granskat hur Försvarets materielverk (FMV), Kammarkollegiet och Kriminalvården arbetar med att motverka infiltration. Den samlade bedömningen är att myndigheternas arbete med att motverka detta är ineffektivt. Detta kan läsas i skenet av att en rapport från Riksrevisionen ofta målar upp ett bekymmersamt läge för den granskade myndigheten. I ett bredare samhällsperspektiv, utan direkt koppling till de granskade organisationerna, vittnar dock ett flertal domar som rör detta om ett bekymmersamt nuläge.
Riksrevisionen är tydlig i sin rekommendation – och jag vågar påstå att den är relevant för de flesta organisationer: personalsäkerhetsarbetet måste integreras i den ordinarie verksamheten för att ge effekt.
Denna slutsats är i grunden samma recept som behövs för att lyckas med allt annat säkerhetsarbete.
När det gäller säkerhetskänslig verksamhet är det avgörande att uppföljning av säkerhetsprövningssamtal sker systematiskt och att säkerhetsprövningen kontinuerligt utvecklas och anpassas utifrån verksamhetens behov och medarbetarnas arbetsuppgifter. Detta är ett hantverk som inte får underskattas.
Under samma period som dessa rapporter såg dagens ljus meddelade Myndigheten för civilt försvar (MCF, tidigare MSB) att det viktiga föreskriftsarbetet för att konkretisera cybersäkerhetslagen (CSL) försenas. Detta i en tid då cybersäkerheten aldrig har varit viktigare, och samhällsviktiga verksamheter aldrig har törstat mer efter konkret vägledning för att stärka sin motståndskraft. Ansvaret för detta vakuum kan inte enbart läggas på MCF – det försenade lagstiftningsarbetet är en betydande orsak.
Ytterligare ett nationellt arbete fångande min blick. Det är FRA och MCF som inom ramen för Nationellt cybersäkerhetscenter (NCSC) tar fram underliggande styrdokument till Sveriges nationella cybersäkerhetsstrategi. Det som fångade min blick var ingressen till uppdraget där det uttrycks att det ska tas fram ”riktlinjer”, men att de för tydlighetens skull ska benämnas ”policyer”. Är det möjligen ett svenskt fenomen att ändamålet helgar styrdokumentstrukturer?
Givet att säkerhetsläget är allvarligt finns det en långt större förväntan på de aktörer som har till uppgift att vägleda och inte minst vara goda exempel. Roller och ansvar är avgörande – både på central och lokal nivå. Om det svajar centralt får det aldrig bli en ursäkt för att avstå ansvar lokalt. Om de goda förebilderna saknas, bli en!
En formulering i Musts årsrapport förtjänar avslutningsvis att belysas särskilt: Alla aktörer inom totalförsvaret som upprätthåller den egna cybersäkerheten bidrar dessutom till försvaret av Sverige. I praktiken är totalförsvaret all verksamhet i hela samhället som ska förbereda Sverige för krig.
Med risk för att vara övertydlig – det gäller alla aktörer!
Författare: Thomas Nilsson