Text: Gösta Löfström
Frågan om cybersäkerhet blir alltmer komplex och kräver ett stort engagemang av många. TechSverige lyfter bland annat vikten av de nya EU-reglerna som går under namnet NIS2. Regeringen får både ris och ros av organisationen när det gäller cybersäkerhetsarbetet.
NIS2-direktivet från EU syftar till att säkerställa en hög nivå av informationssäkerhet i hela EU. Skyddet av samhällsviktiga tjänster behöver förstärkas som en följd av den ökade digitaliseringen och den ökande cyberhotbilden. NIS2 berör 18 olika sektorer, bland annat energiförsörjning, finansiella tjänster, sjukvårds- och transportsektorn.
– Det här är den stora frågan inom digitalisering just nu. Det har varit en lång resa och de nya reglerna har redan börjat gälla, men mer lagstiftning kommer också, säger Fredrik Sand, näringspolitisk expert vid branschorganisationen TechSverige, som organiserar 1 400 företag med närmare 100 000 anställda.
– Cybersäkerhetslandskapet börjar bli ganska komplext. Sanktionsavgifterna i NIS2 och annan lagstiftning är höga. TechSverige har medlemmar som erbjuder tjänster för att införa och efterleva de krav som NIS2 ställer. Det är viktigt att alla berörda engagerar sig i de här frågorna. Rätt hanterat kan höjd säkerhet förstås förbättra affären och lönsamheten inom många områden. Avancerad digitalisering kräver hög säkerhet för att fungera och vara pålitligt.
Ros och en del ris
Utöver att EU lyfter frågan om cybersäkerhet har den svenska regeringen, enligt TechSverige, visat ett uppriktigt intresse för frågor om informations- och cybersäkerhet – och vidtagit åtgärder.
– Dessa frågor har hanterats tillräckligt väl av skilda regeringar under mer än 20 år, fortsätter Fredrik Sand och menar att delar av det regeringen nu gör är i linje med förslagen i TechSveriges rapport ”Techbranschens förslag för att möta cyberhoten” med mer resurser, tydligare ansvarsfördelning, vikten av samarbete med näringslivet och kopplingen till Natomedlemskapet.
– Men regeringen har också fattat strategiska beslut utan att ha tagit ställning om den nu försenade nya nationella strategin för informations- och cybersäkerhet, säger han och hävdar att regeringen också tagit genvägar i andra frågor.
– Inför förslaget om flytten av Nationellt cybersäkerhetscenter (NCSC) till FRA (Försvarets radioanstalt) tillfrågades endast elva statliga myndigheter, medan näringslivsintressen och en bredare del av den offentliga inte fick vara med i processen.
– Det är i stark kontrast till hur införandet av NIS2-reglerna hanterades. Då bjöds över 210 remissinstanser in att ge sina synpunkter. Hela samhället måste med i cybersäkerhetsarbetet, detta är inte en fråga bara för säkerhets- och underrättelsemyndigheter, säger Fredrik Sand.
”Delvis en ny kultur”
TechSverige betonar att regeringen behöver verka för ett förtroendefullt samarbete mellan företag och tillsynsmyndigheter inom techområdet.
– Säkerhetsarbete är en lagsport och här har Sverige och techsektorn en lång tradition med nära och konstruktivt samarbete mellan myndigheter och företag. Men i arbetet med den nya säkerhetsskyddslagen är det tydligt att en delvis ny kultur har etablerats, som inte gynnar utvecklingen av ett motståndskraftigt digitalt Sverige.
– Trots att regelverket är komplext finns det en motvilja bland ansvariga myndigheter att vägleda och ge råd till de företag som har att tolka och leva upp till den nya lagen. När lagen nu utvärderas har regeringen inte frågat företagen som utsätts för tillsynen om deras erfarenheter.
– Våra medlemmar är mycket engagerade i de här frågorna och tar dem på stort allvar. Vi tycker det vore på sin plats att man också lyssnade på vad de kan bidra med i utvärderingen.
TechSverige anser att den rådgivning som i dag lämnas av myndigheter är av generell karaktär och inte ger något faktiskt stöd till privata verksamhetsutövare. De verksamhetsspecifika bedömningarna kring skyddsvärden och konsekvenser för Sveriges säkerhet måste verksamhetsutövaren i stället svara för helt själv, utan möjlighet att diskutera de många frågorna med experter som har erfarenhet av ämnet, arbetsmetoderna och tillsynen.
– Regelverket lägger hela ansvaret på enskilda företag att bedöma verksamhetens betydelse för Sveriges säkerhet. Tillgängliga vägledningar är inte tillräckligt konkreta och tillsynsmyndigheterna upplevs som svårtillgängliga och avvisande när de får verksamhetsspecifika frågor. Detta står i kontrast till hur motsvarande regelverk fungerar i våra grannländer och på EU-nivå. Det ska vara lätt att göra rätt, även för Sveriges säkerhet, säger Fredrik Sand.
Kompetensfrågor högaktuella
Cybersäkerhetsfrågorna är högaktuella, men även kompetensförsörjningen inom techbranschen står högt på agendan för branschen.
– Brist på it-kompetens är en av de största utmaningarna över lag i branschen, inte minst kopplat till informations- och cybersäkerhet, säger Fredrik Sand, som bland annat har välkomnat regeringens förslag att etablera Cybercampus Sverige vid KTH i Stockholm. Här har regeringen lyssnat på branschen, både vad gäller behovet av utbildning och forskning och vikten av att inkludera näringslivet.
2024 publicerade TechSverige rapporten Kompetensbehoven inom tech, som belyser den akuta bristen på kvalificerad arbetskraft inom techsektorn och andra branscher. Rapporten pekar på behovet av 18 000 personer med techkompetens till år 2028. Särskilt oroade bristen inom informations- och cybersäkerhet.
– Branschen behöver en rad olika utbildningar och det behöver det allmänna arbeta mer på, gärna i samverkan med näringslivet.
Enligt TechSverige behövs mer kompetens på alla nivåer om både verksamheter och branschen ska kunna ta sin del av ansvaret för svensk it-säkerhet. Men det brister bland annat avseende en enhetlig bild av efterfrågan och tillräckligt utbud av utbildning på eftergymnasial nivå, vilket staten och utbildningsanordnare behöver ta tag i.
Bild: abstractartfactor