HC01FöU8: Nationell strategi för cybersäkerhet 2025–2029

Försvarsutskottets betänkande 2024/25:FöU8

Sammanfattning

Utskottet föreslår att riksdagen lägger skrivelsen om en nationell strategi för cyber­säkerhet 2025–2029 till handlingarna. I skrivelsen presenteras regeringens in­riktning för Sveriges cybersäkerhet med fokus på tre områden, s.k. pelare:  

•       pelare A: Systematiskt och effektivt cybersäkerhetsarbete

•       pelare B: Utvecklad kunskap och kompetensutveckling inom cyber­säkerhet

•       pelare C: Förmåga att förhindra och hantera cybersäkerhetsincidenter.

Strategin innehåller mål inom flera områden och en handlingsplan som tar sikte på att bemöta de hot och sårbarheter som identifieras i strategin.

Utskottet föreslår vidare att riksdagen avslår motionsyrkandena.

I betänkandet finns två reservationer (C) och ett särskilt yttrande (S, MP).

 

Behandlade förslag

Skrivelse 2024/25:121 Nationell strategi för cybersäkerhet 2025–2029.

Två yrkanden i en följdmotion.

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Skrivelsens huvudsakliga innehåll

Utskottets överväganden

Nationell strategi för cybersäkerhet 2025–2029

Reservationer

1. Placeringen av arbetet med Sveriges totala cybersäkerhetsarbete, punkt 1 (C)

2. Totalsträckskrypterade kommunikationstjänster, punkt 2 (C)

Särskilt yttrande

Skrivelsen, punkt 3 (S, MP)

Bilaga 1
Förteckning över behandlade förslag

Skrivelsen

Följdmotionen

Bilaga 2
Regeringens handlingsplan 2025

 

Utskottets förslag till riksdagsbeslut

 

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlar utskottet regeringens skrivelse 2024/25:121 Nationell strategi för cybersäkerhet 2025–2029 samt en följdmotion.

En förteckning över de behandlade förslagen finns i bilaga 1. I bilaga 2 finns en handlingsplan som regeringen kopplar till skrivelsen. Handlingsplanen innehåller aktiviteter som svarar mot regeringens inriktning.

Skrivelsens huvudsakliga innehåll

Regeringen har tagit fram en ny nationell strategi för cybersäkerhet. Den beskriver regeringens inriktning för arbetet med frågor av betydelse för Sveriges cybersäkerhet.

Strategin utgår från nationella behov och från NIS 2-direktivet och dess allriskperspektiv för att hantera en bredd av utmaningar. I strategin redogörs för ett antal hot och sårbarheter som påverkar Sveriges cybersäkerhet. Strategin bygger på tre pelare som anger inriktningen för Sveriges cybersäkerhetsarbete:

•       pelare A: Systematisk och effektivt cybersäkerhetsarbete

•       pelare B: Utvecklad kunskap och kompetensutveckling inom cyber­säkerhet

•       pelare C: Förmåga att förhindra och hantera cybersäkerhetsincidenter.

Strategin innehåller dessutom mål som tar sikte på ett antal områden för att åstadkomma förflyttningar under strategins löptid och bemöta de hot och sårbarheter som regeringen har redogjort för i strategin.

Till strategin kopplas en handlingsplan (bilaga 2) med ett antal aktiviteter som svarar mot regeringens inriktning och kraven i NIS 2-direktivet. Handlingsplanen kommer att uppdateras löpande.

 

Utskottets överväganden

Bakgrund och tidigare arbete

Nationell strategi för cybersäkerhet ersätter den tidigare strategin Nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213).

Regeringen inledde under 2023 ett arbete med att utveckla Nationellt cybersäkerhetscenter (NCSC) med målet att centret bl.a. ska utgöra navet i det nationella cybersäkerhetsarbetet. Under 2023 tillsattes en s.k. bokstavs­utredning med uppdrag att se över centrets verksamhet (Fö 2023:A). Utifrån den utredningen har regeringen beslutat att NCSC fr.o.m. den 1 november 2024 ska finnas inom Försvarets radioanstalt (FRA) samt att NCSC:s chef ska utses av regeringen. Utredningens övriga förslag bereds inom Regeringskansliet.

I december 2023 behandlade utskottet regeringens skrivelse 2023/24:26 om Riksrevisionens rapport om regeringens styrning av samhällets informations- och cybersäkerhet (bet. 2023/24:FöU2). Utskottet välkomnade åtgärder som syftar till att ytterligare förstärka det nationella cybersäkerhetscentrets verksamhet när det gäller organisering och styrning, bl.a. till förmån för samverkan med näringslivet och utvecklade lägesbilder. Utskottet ansåg att det nationella cybersäkerhetscentret redan då skulle ses som ett mycket viktigt steg framåt, och utskottet såg fram emot att ta del av centrets fortsatta utveckling, t.ex. i fråga om att utreda och dra lärdom av större it-relaterade incidenter, förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter, främja it-incidentrapportering m.m.

I samband med totalförsvarsbeslutet för perioden 2025–2030 behandlade utskottet frågor om cybersäkerhet. (prop. 2024/25:34, bet. 2024/25:FöU2, rskr. 2024/25:114). Utskottet konstaterade att flera åtgärder vidtagits de senaste åren för en förbättrad informations- och cybersäkerhet, i Sverige och inom EU, men att mycket arbete ännu kvarstod. Utskottet välkomnade regeringens breda satsning i budgetpropositionen för 2025 för att stärka informations- och cybersäkerhetsarbetet inklusive åtgärder för att långsiktigt stödja kompetensutvecklingen på området genom forskning, utbildning och information. Vidare anförde utskottet att det såg fram emot att följa utvecklingen av det ombildade NCSC med FRA som kommande huvudman och att de hade förväntningar om att centret skulle bidra till en starkare nationell struktur och en tydlig knutpunkt för cybersäkerhetsarbetet.

I NIS 2-direktivet[1] fastställs åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå i hela EU. Regeringen tillsatte under 2023 en utredning för att bl.a. föreslå de anpassningar av svensk rätt som bör göras till följd av direktivet, och i mars 2024 överlämnade utredningen sitt delbetänkande (SOU 2024:18). Ansvarsförhållandena för de aktörer som omfattas av NIS 2-direktivet kommer att definieras i en nationell reglering som införlivar direktivet i Sverige. Detta lagstiftningsarbete är under beredningen, och regeringen avser att lämna propositionen om en ny cybersäkerhetslag till riksdagen hösten 2025.

I Sverige och inom EU har de senaste årens omfattande teknikutveckling lett till att förslag om lagring av och tillgång till elektronisk information tagits fram. Totalsträckskrypterade tjänster, även kallade end-to-end krypterade tjänster är en central del i aktuella diskussioner inom området. Totalsträcks­krypterade tjänster är sådana tjänster i vilka bara sändare och mottagare av kommunikation kan ta del av informationen, även när informationen överförs genom internetbaserade kommunikationstjänster. I EU har förslaget om att fastställa regler för att förebygga och bekämpa sexuella övergrepp mot barn förhandlats sedan det lades fram 2022. Förslaget innebär ökade befogenheter för nationella myndigheter att upptäcka och utreda misstänka sexuella övergrepp och kontakt med barn (gromning) som sker på kommunikations­tjänster på internet.

I augusti 2021 gav regeringen en särskild utredare i uppdrag att analysera och utvärdera den nuvarande regleringen om lagring av och tillgång till uppgifter om elektro­nisk kommu­nikation för brotts­bekämpande syften. Syftet med upp­draget var att säker­ställa att de brotts­bekämpande myndig­heternas tillgång till information förbättras och inte försämras över tid på grund av teknik­utveckling och förändrade kommu­nika­tions­vanor, samtidigt som respekten för mänskliga rättig­heter säkerställs. I maj 2023 redovisades utredningens slutsatser i betänkandet Datalagring och åtkomst till elektronisk information (SOU 2023:22). I utredningen föreslås bl.a. nya lagar och ändringar i lagstiftning kopplad till brottsbekämpande myndigheters tillgång till elektronisk information. Lagändringarna föreslås träda i kraft den 1 mars 2026. Utredningen har remitterats till berörda myndigheter och aktörer och förslagen bereds vidare inom Regeringskansliet.

 

Skrivelsen

Strategins utgångspunkter

Regeringen anför att den nationella cybersäkerhetsstrategin utgår från nationella behov och från NIS 2-direktivet och dess allriskperspektiv för att hantera en bredd av utmaningar. Mot bakgrund av det säkerhetspolitiska läget fokuserar strategin därtill särskilt på antagonistiska hot i hela hotskalan.

I skrivelsen konstaterar regeringen att cyberförsvar är en integrerad del av det militära försvaret och bidrar till Sveriges samlade förmåga att möta ett väpnat angrepp. Cyberoperationer är en lika självklar del av krigföringen som mark, sjö-, luft- och rymdoperationer. I freds­tid kan Försvarsmaktens cyber­försvarsresurser användas för att stödja samhället under kriser eller andra allvarliga händelser. Regeringen lyfter även fram att ansvarsprincipen, dvs att den som i normala fall ansvarar för en verksamhet, också har detta ansvar under en krissituation.

Strategins primära målgrupp är myndigheter med särskilt ansvar för verksamhet som bedrivs inom ramen för NCSC, tillsynsmyndigheter inom den samlade cybersäkerhetsregleringen samt andra organisationer som ingår i beredskaps- och NIS 2-sektorerna. Regeringen betonar dock att strategin och den tillhörande handlingsplanen ska vara till nytta för hela samhället.

Internationell kontext för nationell cybersäkerhet

Sveriges cybersäkerhet och reglering på området styrs delvis nationellt men också i ökande grad av den internationella kontexten. På lagstiftningsområdet styrs utvecklingen främst av EU-samarbetet. EU-kommissionen har tagit flera initiativ till reglering och normgivning inom cybersäkerhet och digitala frågor, inte minst cyberresiliensförordningen[2] och cybersäkerhetsakten[3], vilka båda är direkt tillämpliga i EU:s medlemsstater. Därtill har Nato ett växande fokus på strategiska cybersäkerhets- och teknikfrågor, och inom Nato bedrivs ett omfattande arbete med cyberförsvar och strategiska tekniker.

Cybersäkerhetslandskapet

I cybersäkerhetsstrategin redogör regeringen för olika typer av hot och sårbarheter som kan påverka samhällsviktig verksamhet och ytterst Sveriges säkerhet. När det gäller cyberhotaktörer lyfter regeringen fram hot från statliga aktörer, hot från cyberaktivister och hot från cyberbrottslighet och kriminella grupperingar. Sårbarheter i cybersäker­hetslandskapet kan bl.a. röra organisa­toriska, tekniska, infrastrukturella och mänskliga faktorer. Strategin lyfter exempelvis fram brister i cybersäkerhetsarbetet, komplex reglering, kompetens och kunskap, bristande incidenthantering samt sårbara leveranskedjor, beroenden och produkter.

Regeringens inriktning

Den nationella cybersäkerhetsstrategin utgår från tre pelare som anger riktningen för Sveriges cybersäkerhetsarbete:

•       pelare A: Systematiskt och effektivt cybersäkerhetsarbete

•       pelare B: Utvecklad kunskap och kompetensutveckling inom cyber­säkerhet

•       pelare C: Förmåga att förhindra och hantera cybersäkerhetsincidenter.

Varje pelare innehåller ett antal mål med tillhörande resultat­indikatorer. Strategin sträcker sig t.o.m. 2029, och i skrivelsen redogör regeringen även för ”önskat läge 2030” som speglar regeringens vision för var Sverige befinner sig och vilka förflyttningar som skett, inom respektive mål vid strategins utgång. Givet det långsiktiga utvecklingsarbetet med NCSC, där centret ska vara navet för det nationella cybersäkerhetsarbetet, ser regeringen att centret har en väsentlig roll inom ett flertal av målområdena och uppföljningen av dessa.

Regeringen presenterar även en handlingsplan (bilaga 2) som innehåller aktiviteter som svarar mot regeringens inriktning och kraven i NIS 2-direktivet Handlingsplanens innehåll kommer att uppdateras löpande och aktiviteter tillföras för att stegvis uppnå målen.

Pelare A: Systematiskt och effektivt cybersäkerjetsarbete

Syftet med pelare A är att öka svensk motståndskraft genom att ge förut­sättningar för alla samhällets organisationer att stärka sitt systematiska cybersäkerhetsarbete, att öka säkerheten i digitala leveranskedjor och produkter, och om att skydda kritiska system och verksamheter.

Regeringen anger följande mål för arbetet med pelare A:

•       Ökat cybersäkerhetsarbete hos privata och offentliga organisationer

•       Stärkt cybersäkerhet i statlig och kommunal förvaltnings informations­hantering

•       Stärkt cybersäkerhetsarbete inom kritisk infrastruktur

•       Robustare digitala leveranskedjor och minskat beroende

•       Förenklad regelefterlevnad och stärkt funktionellt tillsynsarbete

•       Utvecklat stöd för små och medelstora företags cybersäkerhetsarbete

Övergripande resultatindikatorer för målen i pelare A är att

•       antalet organisationer som nyttjat NCSC:s råd och stöd inom cybersäkerhetsområdet har ökat

•       antalet statliga myndigheter som genomfört cybersäkerhetsmätningar har ökat

•       andelen organisationer som genom systematiska arbetssätt implementerat cybersäkerhetsåtgärder, både administrativa och tekniska, har ökat.

Pelare B: Utvecklad kunskap och kompetens inom cybersäkerhet

Pelare B handlar om att öka medvetenheten, utveckla och bygga kompetens inom cybersäkerhet på alla nivåer samt främja svensk forskning, innovation och säker tillämpning av ny teknik.

Regeringen anger följande mål för arbetet med pelare B:

•       Ökad cybersäkerhetsmedvetenhet och cyberhygien i samhället

•       Stärkt kompetensförsörjning, utbildning och fortbildning inom cybersäkerhet

•       Stärkt forskning och innovation på cybersäkerhetsområdet

•       Stärkt förmåga att hantera framväxande teknologiers risker och möjlig­heter.

Övergripande resultatindikatorer för målen i pelare B är att

•       andelen personer som har nåtts, och tagit till sig av, informationskampanjer om cybersäkerhet har ökat

•       antalet forsknings- och innovationsprojekt inom cybersäkerhet som har fått EU-finansiering har ökat

•       antalet företag verksamma inom cybersäkerhet i Sverige har ökat.

•       antalet utbildade inom cybersäkerhet eller motsvarande har ökat

•       antalet företag som genomgått verksamhetscertifiering inom cyber­säkerhet har ökat.

Pelare C: Förmåga att förhindra och hantera cybersäkerhetsincidenter

Pelare C syftar till att stärka förmågan att snabbt identifiera hot och förebygga cybersäkerhetsincidenter genom god informationsdelning samt att stärka det nationella systemet för och samarbetet kring incidenthantering. Hantering av cybersäkerhetsincidenter handlar om att identifiera, svara på och hämta sig från incidenter genom att vara väl förberedd, förstå vad som har hänt och utvärdera om agerandet varit adekvat. Vid cybersäkerhetsincidenter som drabbat flera länder är internationellt samarbete avgörande för en effektiv incidenthantering.

Regeringen anger följande mål för arbetet med pelare C:

•       Effektivare och säkrare informationsdelning nationellt och internationellt

•       Stärkt privat-offentlig hantering av cybersäkerhetsincidenter

•       Utvecklad förmåga att förebygga och bekämpa cyberbrott.

 

Övergripande resultatindikatorer för målen i pelare C är att

•       andelen organisationer med kvalificerade processer för hantering av cybersäkerhetsincidenter har ökat

•       processer hos berörda statliga myndigheter för att rapportera in incidenter har effektiviserats

•       antalet cybersäkerhetsincidenter som rapporterats in har ökat

•       informationsdelning om incidenter har ökat mellan berörda myndigheter

•       återkopplingen från statliga myndigheter som tar emot incident­rapportering till organisationer som rapporterar incidenter har förbättrats.

Genomförande och uppföljning

Den nationella strategin för cybersäkerhet kommer enligt skrivelsen att uppdateras regelbundet och minst vart femte år utvärderas på grundval av strategins resultatindikatorer och i enlighet med NIS 2-direktivets krav. Strategin ska omsättas i konkret handling bl.a. genom specifika uppdrag och styrning. En redogörelse för detta finns i handlingsplanen i bilaga 2.

 

Motionen

I kommittémotion 2024/25:3388 av Mikael Larsson och Niels Paarup-Petersen (båda C) yrkande 1 uttrycker motionärerna oro över att arbetet med Sveriges totala cybersäkerhetsarbete placerats hos FRA. Motionärerna anför att FRA saknar erfarenhet av arbete med aktörer brett i samhället och att detta begränsar myndighetens möjlighet att ansvara för ökad transparens och tillitsfullt samarbete mellan aktörer inom alla delar av samhället.

Vidare anser motionärerna i yrkande 2 att Sveriges strategi för cybersäkerhet bör inkludera skrivningar om garanterad tillgång till totalsträckskrypterade kommunikationstjänster.

Utskottets ställningstagande

Utskottet anser att det är angeläget att se över och uppdatera arbetet med cybersäkerhet och lagstiftningen kring cybersäkerhet i takt med den snabba och omfattande tekniska utvecklingen inom området. Utskottet välkomnar därför den nya nationella strategin för cybersäkerhet och ser fram emot den kommande beredningen av de lagförslag inom cybersäkerhetsområdet som regeringen avser att presentera i en proposition under hösten 2025.  

Utskottet ser positivt på att en aktör har det övergripande ansvaret och utgör navet för det samlade nationella cybersäkerhetsarbetet. I enlighet med vad utskottet tidigare anfört välkomnar det åtgärder som syftar till att ytterligare förstärka NCSC:s verksamhet när det gäller organisering och styrning, bl.a. till förmån för samverkan med näringslivet och utvecklade lägesbilder. Utskottet vidhåller sin bedömning att NCSC innebär ett viktigt steg framåt, och utskottet avser att följa centrets fortsatta utveckling, inte minst i fråga om att utreda och dra lärdom av större it-relaterade incidenter, förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter samt främja it-incidentrapportering. Utskottet konstaterar att omfattande förändringar har gjorts av hur samhällets cybersäkerhetsarbete organiseras och styrs, och frågan är även under fortsatt beredning. Utskottet ser inget behov av att se över eller ompröva placeringen av NCSC hos FRA i enlighet med vad som anförs i motion 2024/25:3388 (C) yrkande 1. Motionsyrkandet avstyrks.

När det gäller totalsträckskrypterade kommunikationstjänster konstaterar utskottet att en reglering av sådana tjänster förhandlas inom EU och bereds inom Regeringskansliet. Utskottet ser inte skäl att föregripa det pågående arbetet och bedömer därför att det i nuläget inte är aktuellt med skrivningar om garanterad tillgång till totalsträckskrypterade kommunikationstjänster i den nationella cybersäkerhetsstrategin. Utskottet avstyrker således motion 2024/25:3388 (C) yrkande 2.

Avslutningsvis föreslår utskottet att riksdagen lägger skrivelsen till handlingarna.

Reservationer

Ställningstagande

Cybersäkerhetsfrågorna blir alltmer angelägna såväl i ljuset av det bekymrande omvärldsläget som mot bakgrund av teknikutvecklingen. Regeringens probleminsikt är god och skrivelsen angriper många av Sveriges utmaningar inom cybersäkerhet. Jag vill dock uttrycka oro över placeringen av arbetet med Sveriges totala cybersäkerhetsarbete hos Försvarets radioanstalt (FRA). FRA är utan tvekan ytterst kompetent inom cyberförsvar, men saknar fullständigt erfarenhet av arbete med aktörer brett i samhället.

Adekvata arbetssätt för incident- och kontinuitetshantering saknas hos många organisationer och få övar dessa förmågor. Bristande incidenthantering utgör en allvarlig risk för organisationer. Informationsdelning och samarbete mellan och inom den privata och den offentliga sektorn kräver bl.a. uppbyggda kommunikationsvägar och adekvata processer samt tillit aktörer emellan. Dessa processer behöver bl.a. utgå från och ta hänsyn till privata aktörers affärsintressen och sekretess för affärs- och driftsförhållanden. Outvecklat och bristande samarbete mellan det privata och det offentliga, nationellt såväl som internationellt, utgör en sårbarhet. Flera andra länder har gjort liknande försök med att ge uppdraget för den breda cybersäkerheten till landets mest hemlighetsfulla organisationer. Efter ett tag har det konstaterats att det finns kulturhinder i dessa organisationer för att ha ett tillräckligt öppet och inkluderande arbete, och uppdraget har därefter flyttats över till andra organisationer. Det är fortfarande mycket oklart hur FRA i praktiken ska säkra att antalet cybersäkerhetsincidenter som rapporteras in ökar eller att informationsdelning om incidenter ökar mellan de myndigheter som är berörda.

Riksdagen bör ställa sig bakom det som anförs i reservationen och tillkännage detta för regeringen.

 

Ställningstagande

Cybersäkerhetsstrategin bör inkludera skrivningar om garanterad tillgång till totalsträckskrypterade kommunikationstjänster. Mål 7 i den nationella cybersäkerhetsstrategin är Ökad cybersäkerhetsmedvetenhet och cyberhygien i samhället. Cyberhygien inkluderar enligt NCSC totalsträckskrypterade tjänster. Men regeringen vill stoppa dessa, trots att Försvarsmakten själv i en instruktion meddelar att all information till och från försvaret ska ske via sådana tjänster när det inte är tal om säkerhetsskyddsklassificerade uppgifter.

För att kunna skydda sin information är det avgörande att kunna dela information utan att den delas till andra än den önskade mottagaren. Jag ser skäl till oro när det gäller behoven av tillförlitlig och säker digital infrastruktur och med tanke på att digitala tjänster växer i betydelse och omfattning. Små och medelstora företags motståndskraft och skydd av affärshemligheter är en väsentlig del när det gäller att slå vakt om Sveriges samlade konkurrens- och motståndskraft, men företagens möjlighet att kommunicera i säkerhet utan risk för att bli spionerade på av en tredje part ska, enligt regeringen, alltså inte längre vara tillgänglig eftersom totalsträckskrypterade tjänster ska förbjudas om de inte installerar bakdörrar.

Riksdagen bör ställa sig bakom det som anförs i reservationen och tillkännage detta för regeringen.

Särskilt yttrande

Omfattande satsningar behöver göras på svensk cybersäkerhet. Vi välkomnar en ambitionshöjning inom området och vill i sammanhanget lyfta fram några aspekter som är viktiga för oss i det pågående och kommande arbetet med att stärka den svenska cybersäkerheten. Den dåvarande socialdemokratiskt och miljöpartistiskt ledda regeringen överlämnade Sveriges första nationella strategi för samhällets informations- och cybersäkerhet till riksdagen den 22 juni 2017 (skr. 2016/17:213). Strategin uttryckte regeringens övergripande prio­­riteringar och ut­gjorde en plattform för Sveriges fortsatta utvecklings­arbete inom området. Strategin skulle ge långsiktighet och effektivitet i arbetet samt höja medvetenheten och kunskapen i hela samhället, och 2017 års strategi hade sex huvudområden. För var och en av dåvarande sex prioriteringar ställde regeringen upp ett antal målsättningar och inriktningar för hur målsättningarna ska nås.

I den rådande cybermiljön ser vi stora risker eftersom antagonister går ifrån att störa till att förstöra. Teknikutvecklingen går snabbt, och världsläget är osäkert, och Socialdemokraterna och Miljöpartiet förstår att strategier och arbetssätt emellanåt kan behöva uppdateras. Men vi ser med tvekan på den sverigedemokratiskt stödda regeringens uppdaterade strategi för cybersäkerhet: Nationell strategi för cybersäkerhet 2025–2029. Sex områden har i den uppdaterade strategin blivit tre, i sak även snarlika. Den nuvarande regeringen har dessutom skapat ytterligare kompletterande strategier, inklusive Sveriges första försvars- och säkerhetsstrategi för rymden, Nationell säkerhetsstrategi, Sveriges utrikes- och säkerhetspolitik inom cyberfrågor och digitala frågor, och snart kommer även en digitaliseringsstrategi. Vi är tveksamma till att ett staplande av olika strategier gör helheten mer strategisk och långsiktig för arbetet med informations- och cybersäkerhet. Härtill ser vi en tilltagande otydlighet kring ansvarsfördelningen som råder bland olika statsråd och departement när det gäller digitalisering och cyberpolitiken. Det är högst tveksamt om styrningen av området är samlad och säkerställd i Regeringskansliet. Det finns risker kring ansvarsfördelning, kompetens och effektiva former för samordning av informations- och cybersäkerhetsfrågorna. Just det senaste varnade även Riksrevisionen för redan den 27 april 2023 i sin rapport Regeringens styrning av samhällets informations- och cybersäkerhet − både brådskande och viktig.

Med den senaste uppdaterade strategin följer även bilaga 2, Organisationer med roller och ansvarsområden inom cybersäkerhet, som innehåller klargöranden kring organisationer, vilket kan bidra med substans. Men, vi ställer oss undrande kring bilaga 1, Handlingsplan, samt avsnittet Översikt över utmaningar och mål, som till stora delar beskriver kontinuerliga processer och önskade tillstånd som våra myndigheter förväntas hantera mer grundläggande och löpande. Här kan även nämnas att Socialdemokraterna den 4 oktober 2024 framförde fler förslag kring cyberpolitiken i motion 2024/25:3023 Försvar och samhällets krisberedskap av Peter Hultqvist m.fl. (S) samt att Miljöpartiet har framfört förslag kring cyberpolitiken i motion 2024/25:3038 Stärkt beredskap och ett robustare samhälle av Daniel Helldén m.fl. (MP).

Det svenska cyberförsvaret och beredskapen för cyberangrepp måste stärkas. Det är i dag viktigare än någonsin tidigare att såväl myndigheter som kommuner och företag bedriver ett systematiskt informationssäkerhetsarbete. Det är av särskild vikt att stärka it- och cybersäkerheten samt samhällets förmåga att möta asymmetriska cyberhot. Den nationella cyberkompetensen behöver stärkas för att kunna bemöta cyberangrepp och antagonistiska cyberhot. Regeringen bör ta initiativ till kunskapsuppbyggnad inom cybersäkerhetsområdet inom den offentliga sektorn.

Angreppen från cyberkriminella blir allt vanligare samtidigt som vi ser att angreppen även ökar från främmande stater. Främmande stater har resurser att skada samhällsviktiga funktioner såsom livsmedelsförsörjning, elförsörjning och sjukvård med långvariga samhällsstörningar som följd. Statens ansvar för cybersäkerheten måste därför stärkas. Cyber- och informationssäkerheten är en verksamhet med en egen karaktär och prägel. Kungliga Ingenjörs-vetenskapsakademin har i sin rapport Cybersäkerhet för ökad konkurrenskraft föreslagit att en haverikommission ska upprättas för cyberincidenter. Kommissionen skulle enligt förslaget få i uppdrag att utreda, diskutera och analysera cyberincidenter och redovisa rekommendationer och lärdomar från dessa. Sammantaget avser vi att noga följa regeringens fortsatta arbete med frågorna och återkomma med konkreta förslag till riksdagen i andra sammanhang.

Bilaga 1

Förteckning över behandlade förslag

 

Bilaga 2

Regeringens handlingsplan 2025