I dagarna presenterades Budgetpropositionen för 2026 (Prop. 2025/26:1). Den innehåller den omtalade cybersäkerhetsmiljarden. Ett viktigt steg – men långt ifrån tillräckligt. Frågan är fortfarande om Riksrevisionens kritik (RiR 2023:8) hörsammats i regeringskansliet och om de strategiska prioriteringarna nu faktiskt finns på plats.
En del av satsningen går till Nationellt cybersäkerhetscenter (NCSC) med 300 miljoner under tre år. Förväntningarna på NCSC växer, inte minst efter flytten från MSB till FRA, men vi ska inte ha övertro på dess förmåga att lösa alla utmaningar. Informations- och cybersäkerhet bygger i grunden på varje organisations egna risker och behov – precis som NIS2 understryker.
Även kommuner och regioner får medel. Men om anslaget delas lika blir det knappt 2,5 miljoner per organisation på tre år. Risken är uppenbar, tillfälliga pengar ger tillfälliga åtgärder. Cybersäkerhet kräver långsiktighet – tekniska lösningar, utbildning och organisatoriska förändringar innebär återkommande kostnader som kommuner och regioner inte kan bära på egen hand. Detta är inte unikt för cybersäkerhet.
Cybersäkerhetslagen är fortfarande inte på plats (propositionen ska lämnas till riksdagen den 14 oktober enligt regeringen), och vårt östra grannland ligger redan långt före i implementeringen av NIS2. Arbeten som gjorts längs vägen i implementationen visar på konkreta vägledningar och rekommendationer vilket är viktigt och även gagnar oss tillämpare. Noterbart är att i Finland väntas tillsynen inledningsvis riktas direkt mot ledningens ansvar att arbeta systematiskt och riskbaserat. Det borde vara en självklar utgångspunkt även i Sverige. Resultaten av vår egen tillsyn på områden som säkerhetsskydd och dataskydd visar tydligt att vi har en hemläxa att göra för att undvika bristfällig efterlevnad även av NIS2.
Nyligen presenterade MSB och Försvarsmakten i Utgångspunkter för totalförsvaret 2025–2030 en gemensam bild av hur en militär konflikt kan gestaltas. Det nya normala är att vi befinner oss i en situation där hotaktören agerar aggressivt men under gränsen för en väpnad konflikt. Ur ett cybersäkerhetsperspektiv ska sägas att den här nämnda hotaktören inte är det enda orosmolnet att handskas med. Andra illvilliga krafter utnyttjar sårbarheter i leveranskedjorna till känsliga system som mynnar ut i att miljontals känsliga personuppgifter hamnar på villovägar eller leder till att viktiga funktioner som kassa- och betalsystem slutar fungera. Listan kan göras lång!
Regnovädret i Västernorrland nyligen visade hur sårbarheter i järnvägsinfrastrukturen påverkas av naturens krafter och orsakade att norra och södra Sverige separeras. Internetinfrastrukturen är minst lika central – och minst lika sårbar. Den är pulsådern i digitaliseringen och borde ha fått ett betydligt större avtryck i både budgetpropositionen och totalförsvarsplaneringen. I flera tidigare krönikor har vi uppmärksammat detta och belyst flera lovordade och samstämmiga initiativ. Man kan verkligen fråga sig om målen i handlingsplanen som anknyter till den nationella strategin för cybersäkerhet 2025 – 2029 är tillräckliga.
Historien visar att det inte behövs en kraftfull statsaktör för att orsaka skada givet att sårbarheterna är fortsatt lågt hängande frukter vilket i sin tur öppnar upp för betydligt fler hotaktörer. Cybersäkerhetsmiljarden är ett välkommet steg, men den räcker inte. Vi behöver också en riktad satsning på att skydda den livsviktiga internetinfrastrukturen – utan att det sker på bekostnad av andra åtgärder. Bilden av ankarspår på Östersjöns botten lyfte detta till ytan, men det är bara toppen av isberget.
Författare: Thomas Nilsson