– En strategi för Sveriges utrikes- och säkerhetspolitik inom cyberfrågor och digitala frågor
På måndag den 9 december 2024 publicerade regeringen Sveriges strategi för utrikes- och säkerhetspolitik inom cyberfrågor och digitala frågor. Strategin är välbehövlig och efterlängtad men skulle behöva lite mer spets. I förordet till strategin aviseras att den nationella cybersäkerhetsstrategin kommer att beslutas under 2025.
Den utrikes- och säkerhetspolitiska dagordningen för att hantera cyberfrågor och digitala frågor växer i omfattning och betydelse. Framväxten av nya strategiska digitala tekniker som artificiell intelligens, kvantteknik, avancerade halvledare och nästa generationens kommunikationsnätverk (6G) är viktiga faktorer för internationellt samarbete och globala maktförhållanden. EU är, i kraft av sin roll som ledande global aktör, med en bredd av instrument till förfogande, Sveriges viktigaste utrikespolitiska plattform också kring cyberfrågor och digitala frågor.
För svensk utrikesförvaltning handlar arbetet med cyberfrågor och digitala frågor om att främja svensk innovation och industri, främja svenska värderingar och intressen, stärka utvecklingssamarbetet samt fördjupa säkerhetspolitiska samarbeten i syfte att stärka Sveriges bemötande, motståndskraft och avskräckningsförmåga med fokus på statliga antagonistiska aktörer.
Strategin lyfter fyra fokusområden för utrikes- och säkerhetspolitiken inom cyberfrågor och digitala frågor. Dessa områden är
Inom säkerhetspolitiken handlar det mycket om att utveckla samarbeten och dialoger samt utveckla förmåga att avskräcka och bemöta externa cyberhot och cyberangrepp med utrikes- och säkerhetspolitiska instrument. En viktig fråga är också att verka för att folkrätten och existerande normer respekteras och tillämpas i cyberrymden.
Inom detta fokusområde handlar arbetet bland annat om att bidra till ett starkare och sammanhållet EU på det digitala området, främja ekonomisk säkerhet och resiliens med mål om både ökad motståndskraft och fortsatt öppenhet samt minskade sårbarheter och riskfyllda beroenden i förhållande till i synnerhet auktoritära stater. Främja att internationella dataflöden är och förblir fria. Verka för ambitiösa regler om digital handel och dataflöden i handelsavtal. Bidra till nya standarder och certifieringa som förenklar och möjliggör ökad handel.
Inom detta fält vill regeringen bland annat verka för mänskliga rättigheter, demokrati och rättsstatens principer i digitala miljöer. I multilaterala sammanhang (läs EU och FN) vill man verka för de mänskliga rättigheterna, inte minst yttrandefriheten, tillgång till information och rätten till privatliv.
Här handlar det bland annat om att främja EU:s förmåga att agera som en sammanhållen utrikespolitisk aktör inom cyberfrågor och digitala frågor. Etablera Sverige som en aktör inom Natos pågående arbeten. Utveckla dialogen med USA och arbeta med likasinnade kring avskräckning på cyberområdet. Att delta aktivt inom FN:S policyutveckling och försvara internets styrmodell som bygger på flerpartssamverkan samt bevaka Sveriges och EU:s intressen och värderingar inom ramen för FN:s färdplan för digitaliseringsfrågor.
Som strategi räknad kommer denna publikation tyvärr lämna många besvikna. Det som regeringen lyfter som fokusområden handlar uteslutande om att utveckla samarbeten, verkar för olika saker, delta i olika forum samt främja olika saker.
En strategi utan mål är som att köra utan att veta vägen. Ingenstans i strategin finns några tydliga målsättningar för vad regeringen vill uppnå med strategin. Att UD-tjänstepersonerna får veta vilka internationella möten som de ska prioritera är säkerhet bra för dem men varken näringslivet eller civilsamhället kan stödja regeringen i sina ambitioner om inte regeringen tydligt kan kommunicera vad de vill uppnå. Vad finns det för poäng med samarbeten om vi inte vet vad vi vill uppnå med det?
Det kan noteras att regeringen bland annat ska “verka i multilaterala sammanhang för de mänskliga rättigheterna inom cyberområdet, inte minst yttrandefriheten, tillgång till information och rätten till privatliv.” Samtidigt pågår initiativ bland annat inom EU som syftar till att begränsa detta, jfr Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om fastställande av regler för att förebygga och bekämpa sexuella övergrepp mot barn COM/2022/209 final, populärt kallat ChatControl 2.0. Det ska bli spännade att följa regeringens arbete med detta och hur det hänger ihop med Sveriges strategi på området.
För oss som arbetar med informations- och cybersäkerhet är det glädjande att höra att Sveriges nationella cybersäkerhetsstrategi är på gång. Den nuvarande strategin publicerades för snart sju år sedan; Nationell Strategi för samhällets informations- och cybersäkerhet, Skr. 2016/17:213. Enligt strategin skulle den uppdateras 2018 för att anpassa strategin till de nya bestämmelserna och övriga konsekvenser som genomförandet av NIS1-direktivet skulle komma att innebära. Någon sådan uppdatering kom aldrig och alla myndighetsaktiviteter kopplade till strategin har för länge sedan rapporterats. Våren 2023 kom så Riksrevisionen med svidande kritik mot regeringen bland annat på grund av senfärdighet på området. Riksrevisionens övergripande slutsats var att regeringens arbete för att stärka Sveriges informations- och cybersäkerhet inte har varit effektivt, (RiR 2023:8).
Regeringen instämde i Riksrevisionens bedömning och påpekade att informations- och cybersäkerhetsområdet behöver vara mer strategiskt sammanhållet och det behöver finnas tydliga välgrundade prioriteringar som kan rikta in det dagliga arbetet för såväl Regeringskansliet, myndigheter, kommuner och näringsliv, Skr. 2023/24:26.
Trots Riksrevisionens kritik och regeringens självrannsakan har vi ännu inte fått någon uppdaterad strategi. Det är som sagt glädjande att regeringen aviserar att den ska komma under 2025 – men det är ändå snart två år sedan Riksrevisionens kritik och 5 år efter regeringens egna deadline för uppdatering. Låt oss hoppas att den kommande nationella cybersäkerhetsstrategin verkligen blir en tydlig inriktning med skarpa, mätbara mål som också näringslivet kan använda sig av och inte bara kan användas i Regeringskansliets interna beredningsarbete – som den nu publicerade strategin för utrikes- och säkerhetspolitik inom cyberfrågor och digitala frågor.
Sedan kan man undra vad som händer med informationssäkerhetsaspekten som sakta verkar börja utmönstras ur policysammanhang. När man läser den publicerade strategin är det svårt att inte dra lite på munnen över alla ord med cyberförled som man kan hitta; “den tematiska cybersanktionsregimen”, “cyberdialog”, “cyberdiplomatisk verktygslåda”
Den som vill läsa strategin i sin helhet hittar den här: Sverige i en digital värld – En strategi för Sveriges utrikes- och säkerhetspolitik inom cyberfrågor och digitala frågor