En konsekvens av ovanstående beskrivna omvärldsutveckling är onekligen den rad av ambitiösa åtgärdspaket som Sveriges (i skrivandets stund dåvarande) regering föreslagit – tillsammans med förslag på skärpningar för Sveriges säkerhet. Enligt vissa en inte alltid genomtänkt utveckling som riskerar motverka sina egna syften till följd av ökad administration snarare än säkerhetshöjande åtgärder.
Samtidigt måste det noteras att gränsdragningen mellan det som är att betrakta som en alltmer digitaliserad samhällsviktig verksamhet, och den i säkerhetsskyddslagen utpekade säkerhetskänsliga verksamheten alltmer suddas ut. I det nya nationella försvaret, med såväl en militär som en civil del, är det betydligt svårare att utröna i vilken utsträckning en leverans, tjänst eller funktion faktiskt har den betydelse som den nu nygamla säkerhetsskyddslagens förarbeten föreskriver. I ett alltmer intrikat nätverk av samhällsviktiga tjänster – tillsammans med Försvarsmakten egna uppfattning om att man är generellt beroende av att samhällets grundläggande funktioner – kan det konstateras att beroendeförhållandet mellan offentliga och privata aktörer, även inom riket, skapar ett nytt tankesätt. Inte minst blir detta tydligt i våra 290 kommuners utökade ansvar inom totalförsvaret, där varje kommun åläggs att inte bara stödja Försvarsmakten och värna civilbefolkningen – men också att säkerställa de viktigaste samhällsfunktionerna.
För den enskilda verksamhetsutövaren, inom såväl offentlig som privat sektor, ställer det nya digitaliserade samhället stora krav på att analysera och bedöma var gränsdragningen går – och inte minst att hitta rätt nivå på den säkerhet som krävs för att säkerställa ett adekvat skydd. Här bollar de vägledningar som finns att tillgå ofta tillbaka ansvaret till verksamhetsutövaren med stundtals vaga värdeord. Till det kan tilläggas nya skyddsvärden som anseende och förtroende vilka svårligen låter sig implementeras i skyddsåtgärder som exempelvis separerade informationssystem.
För den verksamhet som inte anses nå upp till nivån säkerhetskänslig verksamhet finns förvisso underordnade reglerade skyddsåtgärder i exempelvis NIS-direktivet och MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter – men samtidigt långt från den detaljrikedom som återfinns i gällande säkerhetsskyddslagstiftning. Resultatet för många av våra samhällsviktiga verksamheter riskerar bli riskanalyser där nära besläktade verksamheter beläggs med stora skillnader i skyddsåtgärder – något som i sig riskerar urholka syftet med ett robust totalförsvar med sikte på framtiden. Kanske är de nya skyddsvärden som uppstått i samband med vår pågående pandemi det tydligaste exemplet på resonemanget.
Måhända vore det inte för mycket att begära av de ambitiösa åtgärdsprogram som nu lanseras att även innefatta vägledningar för samhällsviktig (men ej säkerhetskänslig) verksamhet inom domäner som informationssäkerhet, fysisk säkerhet, personalsäkerhet, kommunikation och avtal. Inte minst för alla våra privata aktörer där vanan att arbeta i ett systematiskt säkerhetsarbete ofta är utmanande, kostnadsdrivande och isolerat. Med stöd av en sådan serie vägledningar skulle onekligen en större del av den identifierade samhällsviktiga verksamheten stärka sitt skydd – vilket i sig också skulle framtidssäkra vårt Sverige för kommande framtida skyddsvärden.
Vän av ordning kan ställa sig frågan hur mycket som egentligen har förändrats i landet Afghanistan sedan vi inledde vår militära insats för 20 år sedan. På samma sätt kan man reflektera över hur mycket vårt egna svenska samhälle förändrats – med en mer komplex och hybrid hotbild tillsammans med en explosionsartad digitalisering.
Frågan som onekligen följer sammanfattas enklast: Sveriges säkerhet – hur stor del av Sverige – och hur säkert?
Michael Forsman
