Förslag till riksdagsbeslut

Cybersäkerhetsfrågorna blir alltmer angelägna såväl i ljuset av det bekymrande omvärlds­läget som mot bakgrund av teknikutvecklingen. Regeringens probleminsikt är god och skrivelsen angriper många av Sveriges utmaningar inom cybersäkerhet. Centerpartiet vill särskilt framhålla det positiva i att regeringen tar upp vikten av cybersäkerhets­arbetet hos bl.a. små kommuner och mindre aktörer, såsom små och medelstora företag. Dessa aktörer saknar inte sällan ett tillfredsställande cybersäkerhetsarbete av resurs- och kompetensskäl. Det är avgörande att statens cybersäkerhetsarbete arbetar på öppna och utåtriktade sätt som säkrar deltagande, involvering och enkel kontakt med dessa aktörer.

Som regeringen framhåller är kunskapsnivån om vad som är skyddsvärt i den egna verksamheten ofta låg och många verksamhetsutövare har utmaningar i att identifiera vilka delar av verksamheten som är säkerhetskänsliga, samhällskritiska eller både och, inte minst ur ett tillgänglighetsperspektiv. Detta gör det svårt att ta medvetna beslut om informationshantering i allmänhet och dimensionering av skyddsåtgärder i synnerhet.

Cybersäkerhetsarbetet visar ofta också upp brister även när det gäller analyser av vilka krav deras it-system behöver uppfylla baserat på verksamhetens behov. För att effektivt följa lagkrav och uppnå den förbättring som lagstiftaren avsett, krävs att organisationer genomför en grundlig verksamhetsanalys. Denna analys kan i sig vara komplex och omfattande, särskilt för organisationer som ansvarar för vitt skilda verksamheter och därmed har olika regleringar och krav att förhålla sig till.

Adekvata arbetssätt för incident- och kontinuitetshantering saknas hos många organisationer och få övar dessa förmågor. Bristande incidenthantering utgör en allvarlig risk för organisationer. Informationsdelning och samarbete mellan och inom privat och offentlig sektor kräver bl.a. uppbyggda kommunikationsvägar och adekvata processer samt tillit aktörer emellan. Dessa processer behöver bl.a. utgå från och ta hänsyn till privata aktörers affärsintressen och sekretess för affärs- och driftsförhållanden. Outvecklat och bristande samarbete mellan det privata och offentliga, nationellt såväl som internationellt, utgör en sårbarhet. I regeringens strategi pekas därför med rätta ”outvecklad informationsdelning mellan den privata och offentliga sektorn” ut som ett särskilt insatsområde. Det är i detta sammanhang Centerpartiet vill uttrycka oro för placeringen av arbetet med Sveriges totala cybersäkerhetsarbete hos Försvarets radio­anstalt (FRA).

FRA är utan tvekan ytterst kompetenta inom cyberförsvar, men saknar fullständigt erfarenhet av arbete med aktörer brett i samhället. Sveriges mest hemliga myndighet ska nu bära ansvaret för ökad transparens och tillitsfullt samarbete mellan aktörer inom alla delar av samhället. Flera andra länder har gjort liknande försök med att ge uppdraget för den breda cybersäkerheten till landets mest hemlighetsfulla organisationer. Efter ett tag har det konstaterats att det finns kulturhinder i dessa organisationer för att ha ett tillräckligt öppet och inkluderande arbete, och uppdraget har därefter flyttats över till andra organisationer. Det är fortfarande mycket oklart hur FRA i praktiken ska säkra att antalet cybersäkerhetsincidenter som rapporteras in ökar eller att informationsdelning om incidenter ökar mellan berörda myndigheter.

Centerpartiet ser även skäl till oro när det kommer till att behoven av tillförlitlig och säker digital infrastruktur samt digitala tjänster växer i betydelse och omfattning. Regeringens strategi pekar som önskat läge 2030 ut att ”alla organisationer har förutsättningar för och tar ansvar för att skydda sin information”. En avgörande del av att kunna skydda sin information är att kunna dela information utan att den delas till andra än den önskade mottagaren. Likaså önskas ”en gemensam och dimensionerad nationell cybersäkerhet som bygger på reglerad kravställning, fastställda säkerhets­nivåer och nationellt kravställda produkter och tekniska lösningar har implementerats i skyddsvärda verksamheter såväl offentligt som privat”. Ett annat önskemål från regeringens strategi är att ”upphandling med adekvata krav resulterar i avtal med robusta säkerhetskrav som leder till väl fungerande tjänster, säker hantering av information, samt innovation inom säkerhetsområdet”.

Strategins mål 7 är rent av ”ökad cybersäkerhetsmedvetenhet och cyberhygien i samhället”. Cyberhygien inkluderar enligt Nationellt center för cybersäkerhet (NCSC) totalsträckskrypterade tjänster. Men regeringen vill stoppa dessa. Detta trots att Försvars­makten själva i en instruktion meddelar att all information till och från försvaret ska ske via sådana tjänster när det inte är tal om säkerhetsskyddsklassificerade uppgifter.

För att återgå till regeringens utmärkta fokus på små och medelstora företag så är det korrekt att faktorer som bristande cybersäkerhetsmedvetenhet och knappa resurser gör majoriteten av dem sårbara. De löper dessutom ofta stor risk att inte återhämta sig från allvarliga cybersäkerhetsincidenter. Små och medelstora företags motståndskraft och skydd av affärshemligheter är därför en väsentlig del i att slå vakt om Sveriges samlade konkurrens- och motståndskraft. Men deras möjlighet att kommunicera i säkerhet utan risk för att bli spionerade på av tredje part ska, enligt regeringen, alltså inte längre vara tillgänglig eftersom totalsträckskrypterade tjänster ska förbjudas om inte dessa installerar bakdörrar. Det är en utveckling Försvarsmakten varnar för i sitt remissvar.

Mikael Larsson (C)

Niels Paarup-Petersen (C)