Nyligen presenterades delbetänkandet av Utredningen om genomförande av NIS2- och CER-direktiven (SOU 2024:18) som anser att kommunerna i sin helhet, med några få undantag, omfattas av utredningens förslag till lag om cybersäkerhet. I dagarna tillkännagav Integritetsskyddsmyndigheten (IMY) sin tillsynsplan för 2024 där granskning av kommunernas arbete med dataskyddsförordningen ligger högt på agendan. I dagarna röstade också EU-parlamentet igenom AI-förordningen. Denna förordning kommer att i allra högsta grad påverka hur kommunerna kan använda AI för att effektivisera verksamheten.
Det ska tydligt sägas att reglering och uppföljning genom tillsyn är viktigt. Det som är utmanande för kommunerna är att den tänkta lagen om cybersäkerhet kommer ha 11 tillsynsmyndigheter. Minst hälften av dem kommer att föreskriva hur kommuner ska bedriva det systematiska och riskbaserade arbetssättet, men också följa upp det. Utifrån tidigare erfarenheter har det inte varit en samordnad kravbild från förskrivande myndigheter. Den som har studerat de stärkta kraven i myndigheternas regleringsbrev kring informations- och cybersäkerhetsarbetet ser behovet av bättre samordning i statsapparaten på fler plan.
Den kommun som tänker använda AI för att effektivisera verksamheten har inte bara AI-förordningen att förhålla sig till. Kommunen behöver fortfarande förhålla sig till dataskyddsförordningen när personuppgifter behandlas. Regleringen är inte samordnad varför man behöver hantera lagrummen var för sig. Det bidrar sannolikt till att effekten av effektiviseringen låter vänta på sig.
Effektiviseringen av kommunerna är minst sagt nödvändig. Dels på grund av att den demografiska utveckling där allt färre ska försörja allt fler, dels det faktum att senaste tidens inflation bidragit till en dramatisk ökning av pensionskostnaderna för kommunerna med ca 50 miljarder kronor senaste året. Det är en klart tuffare tillvaro kommunerna går till mötes där effektiviseringen med stöd av AI är en mycket viktig pusselbit.
I en hög strävan av regelefterlevnad i Sveriges kommuner har jag senaste veckorna fått en mängd frågor kring kravbilden som följer av förslag till lag om cybersäkerhet. För en kommun som redan har ett effektivt systematiskt och riskbaserat arbetssätt är frågan svårbesvarad. Vi vill verkligen inte hamna i en situation där olika tillsynsmyndigheter har olika syn på det systematiska och riskbaserat arbetssätt utan det borde vara fokus på att säkerställa ledningssystemets effektivitet över tid.
För de kommuner som inte har det systematiska och riskbaserade arbetssättet på plats är det sedan länge hög tid att påbörja den resan. Tro inte att en förändring av arbetssätt är en ”check-in-the-box”-övning. Det är precis tvärt om. Det handlar om att informations- och cybersäkerhetsarbetet ska flätas in i den vanliga vardagen och det kommer att ta flera år innan det är naturligt integrerat. Här krävs en stor portion tålamod och ett långsiktigt stöd från den högsta ledningen.
En utmaning att ta på största allvar är att olika regler förutsätter olika perspektiv på riskanalyserna. Exempelvis värnar dataskyddsförordningen om de registrerade och att det är ur deras perspektiv riskanalysen ska göras. AI-förordningen har helt andra perspektiv som ska riskanalyseras. I mer komplexa sammanhang leder det till att fler riskanalyser behöver genomföras med olika perspektiv. I sin tur leder det till att det systematiska och riskbaserade arbetssättet kommer att bli mödosamt. Här finns det plats för förbättra metodstöd som effektivt kan lösa mer komplexa utmaningar.
Alternativen förskräcker. Jag tror att varje organisation som har råkat ut för obehagliga överraskningar med enorma kostnader som följd mer än gärna hade lagt tid och pengar på det preventiva arbetet. Nackdelen med det preventiva arbetet är att det kan vara svårt att få gehör för det. Här är det tydligt att de sanktionsbelopp som IMY och andra tillsynsmyndigheter kan utfärda har effekt. Det är troligt att IMY i sin tillsyn mot kommunerna kommer säkerställa att det finns genomförda konsekvensbedömningar och att bedömningarna upprätthåller en viss kvalité. Brister det här, då är det tydligt att det brister även i systematiken.
Det blir en stor utmaning att både gasa och bromsa. Här krävs ledarskap och precision utöver det vanliga!
