Lagstiftningen om cybersäkerhet och digital motståndskraft är nödvändig och stärker samhällets skydd, men innebär också nya utmaningar för verksamhetsledare och beslutsfattare.
Kunskapsnivån måste höjas genom bättre samarbete, slår Cisco fast i en ny vägledning som ska förenkla efterlevnaden.
Rapporten Säker digitalisering med cybersäkerhetslagen publicerades i november 2024 och är framtagen av Cisco i samarbete med Radar Group. Den riktar sig till beslutsfattare och verksamhetsledare i samhällsviktiga branscher och kommer i en snabbrörlig tid, där Sveriges digitala innovationsförmåga och konkurrenskraft ifrågasätts.
Rapporten presenterades i samband med ett seminarium den 14 november
”Sverige som land har inte längre den världsledande position inom digitalisering som man haft historiskt, och vi ligger efter inom bland annat digitalisering av offentlig verksamhet, nyttjandet av AI och upplever en brist på IT-kompetens inom flera viktiga områden”, konstaterar rapportförfattarna.
Lagar och regelverk för digitalisering är under snabb utveckling, inte minst drivna av den likaledes höga innovationstakten inom spetsteknologier som AI och maskininlärning – faktorer som å ena sidan möjliggör nya och förbättrade konsument- och samhällstjänster, men samtidigt innebär nya och komplexa risker kring hantering, och nya hotbilder mot verksamheter.
Under 2025 är det framför allt två nya lagar som kommer att ha stor påverkan på svenska offentliga verksamheter och företag i samhällsviktiga branscher.
Lagen om cybersäkerhet, baserad på EU-direktivet NIS2 är den mest kända och innebär en rad nya och mer strikta regler som syftar till att skydda samhällsviktiga system från cyberattacker. Den kompletteras med Lagen om motståndskraft hos kritiska verksamhetsutövare, som ska minska sårbarheten i samhällskritisk infrastruktur.
Henrik Bergqvist, cybersäkerhetsexpert Cisco Sverige
Trots att 1,2 miljoner är anställda i företag och offentliga verksamheter som omfattas av de nya lagändingarna finns det mycket arbete som återstår innan lagarna ska träda i kraft sommaren 2025. Framför allt är det i offentlig sektor som oron växer. I rapporten svarar bara tio procent av verksamhetsledarna i kommuner och regioner att de är mycket säkra på att bli klara i tid, och fler än fyra av tio uppger att de är osäkra eller mycket osäkra på att hinna färdigt.
Rapporten lyfter fram konsekvenser av bristfällig digitalisering. Genomsnittskostnaden för en cyberattack uppgick 2023 i Sverige till cirka 19 miljoner kronor, men utöver de direkta kostnaderna i form av förlorade intäkter och kostnader för åtgärder, tillkommer mer svårmätbara men inte mindre viktiga negatriva effekter på anseende och tillit.
Rapporten visar också på ett akut behov av kunskap. Bara 13 procent av verksamhetsledarna i kommuner och regioner uppger att de har tillräcklig kunskap om cybersäkerhetslagen inom den egna verksamheten. Att behövet är stort även i näringslivet innebär hård och kostsam konkurrens om rätt expertis.
En av de viktigaste faktorer som lyfts fram i vägledningen är därför ett bättre kunskapsutbyte mellan kommuner och regioner, via SKR, egna nätverkskontakter och samarbetspartners från näringslivet. Henrik Bergqvist, som är cybersäkerhetsexper på Cisco, hoppas att rapporten kan bidra till ökad transparens i frågan och gemensamma initiativ för att hantera utmaningarna:
”En ämnesexpert kan hjälpa många, och det ligger i allas intresse. Att lyckas göra de nödvändiga förändringarna är inte en tävling. Det är inte nödvändigtvis den som kommit först till målsnöret som gjort den bästa insatsen, utan det är de som bidragit mest till att hjälpa alla i mål. Vi tror och hoppas att rapporten kan ge det stöd som kommuner och regioner behöver för att öka takten i efterlevnadsarbetet, etablera en effektiv arbetsprocess och göra saker i rätt ordning med rätt ansvarsfördelning.”
