Den 15 januari trädde den nya cybersäkerhetslagen i kraft, som är den nationella implementeringen av EU-direktivet NIS2. Lagen ska ses som en referenspunkt för samordningen av svenska aktörers cybersäkerhetsarbete. Det övergripande syftet är att stärka samhällets och EU:s motståndskraft, kontinuitet och robusthet i cyberdomänen, samt att minska sårbarheter i samhällsviktiga funktioner och kritiska tjänster. Den nya lagen ställer krav på offentliga och privata aktörer gällande bland annat riskhantering och incidentrapportering. Basalts konsult Lise Stenberg ger här en kort analys av den nya lagen.
En första utmaning handlar om gränsdragning, för trots att lagen anger vilka sektorer som omfattas kvarstår ett tolkningsutrymme kring vilka verksamheter som faktiskt träffas av regelverket och hur ansvar ska fördelas mellan ledning och operativ nivå. I praktiken innebär detta att rättsläget till stor del formas genom föreskrifter, tillsynsbeslut och sanktionspraxis.
För berörda organisationer tillkommer även ett tydligt ekonomiskt incitament, eftersom tillsynsmyndigheterna enligt cybersäkerhetslagen kan besluta om sanktionsavgifter samt meddela förelägganden vid bristande efterlevnad. Detta skärper kraven på faktisk efterlevnad och tydlig styrning, snarare än enbart formell regelefterlevnad.
För verksamhetsutövare innebär detta en viss osäkerhet, även om det i grunden är positivt att fler aktörer nu tvingas reflektera över sin roll och betydelse ur ett strategiskt beredskapsperspektiv. Situationen är inte helt olik den skyldighet som organisationer har enligt säkerhetsskyddslagstiftningen att pröva om den verksamhet som bedrivs är säkerhetsskyddskänslig eller inte. Skillnaden är dock att cybersäkerhetslagen har ett bredare tillämpningsområde, där även verksamheter som inte bedriver säkerhetsskyddskänslig verksamhet kan omfattas av långtgående krav på riskhantering och incidentrapportering.
Just betoningen på styrning och ledningsansvar innebär att cybersäkerhet inte får ses som en isolerad teknisk fråga, utan som en strategisk ledningsfråga med direkt bäring på verksamheters kontinuitet, samhällsviktiga funktioner och ytterst den nationella säkerheten. Samtidigt är det uttalade ledningsansvaret nyckeln till framgång här, så även i fråga om en verksamhetsutövare omfattas av den nya lagen eller inte. För när cybersäkerhet tydligt lyfts till styrelse- och ledningsnivå skapas bättre förutsättningar för prioritering, resursfördelning och integrering i verksamhetsstyrningen. Därmed skapas ett naturligt incitament att införa, prioritera och vidmakthålla lämpliga säkerhetsåtgärder som är integrerade i den övergripande verksamhetsstyrningen.
Samtidigt förutsätter detta att nödvändig kompetens faktiskt finns på plats. I dag saknas i stor utsträckning tillräcklig cyberkompetens inom delar av den civila förvaltningen och näringslivet, vilket riskerar att försvaga ett system som bygger på att flera aktörer kan agera både snabbt, parallellt och samordnat.
Denna strukturella fragmentering, i hur samordningen av tillsynsmyndigheter, ansvarsfördelning dem emellan och överinstanser, blir särskilt kritisk i ljuset av dagens hotbild. Cyberangrepp följer inte administrativa gränser, utan rör sig längs leverantörskedjor, gemensamma plattformar och tekniska beroenden. Angripare använder ofta kombinerade metoder, såsom överbelastningsattacker, ransomware och påverkansoperationer, för att slå mot flera delar av samhället parallellt. I sådana situationer riskerar det inledande skedet att präglas av osäkerhet kring ansvar, informationsdelning och beslutsfattande. Och här framträder en central sårbarhet: den administrativa hanteringen kan bli en angreppsyta. När incidenter måste passera flera myndigheter och beslutsnivåer innan samordnade åtgärder kan vidtas, riskerar responsen att fördröjas. Denna fördröjning kan utnyttjas av en angripare. Genom att binda upp organisationer i administrativa flöden riskerar kritiska resurser att förtas från kärnverksamheten och krishanteringen som sådan. Detta är inte en konsekvens av regelverket i sig, utan av hur ansvarsfördelning, informationsdelning och samordning utformas i praktiken.
Sammanfattningsvis utgör cybersäkerhetslagen ett nödvändigt steg för att uppnå en ökad motståndskraft i cyberdomänen. Regelverket signalerar en bredare och systemisk förståelse för cybersäkerhetens roll i samhället. Samtidigt är det i tillämpningen, snarare än i lagens utformning, som de största utmaningarna nu återstår. Därför är det välkommet att cybersäkerhetsarbetet nu uttalas som en strategisk ledningsfråga och för många organisationer innebär detta ett behov av att omsätta juridiska krav till praktisk styrning och operativ förmåga. För i ett skarpt läge är det inte regelverkets ambitioner, utan kvaliteten i styrning och ledning, som avgör om förmågan håller. För Sveriges säkerhet är det avgörande att snabbare samordning – och en mer robust cyberdomän – blir den samlade nyttoeffekten.
