Sveriges nya nationella strategi för cybersäkerhet 2025-2029

Den svenska regeringen har lanserat en ny nationell strategi för cybersäkerhet för åren 2025-2029, för att kunna hantera de alltmer komplexa cyberhoten. Visionen är ett motståndskraftigt Sverige med en hög nivå av cybersäkerhet, där samhällsviktig verksamhet kan upprätthållas även vid cybersäkerhetsincidenter.

Ett förändrat cybersäkerhetslandskap

Sveriges cybersäkerhet påverkas av olika sårbarheter som kan utgöra strategiska risker för ett digitaliserat samhälle och påverka samhällsviktig verksamhet. Det förändrade cybersäkerhetslandskapet har inneburit mer dynamiska hotaktörer och förändrade cyberhot som organisationer behöver förhålla sig till. Den nya strategin (Skr. 2024/25:121) utgår från nationella behov och NIS2-direktivet och dess allriskperspektiv för att hantera utmaningar som kompetensbrist, komplex reglering, sårbara leveranskedjor och bristande systematiskt cybersäkerhetsarbete. 

Regeringens strategi för Sveriges cybersäkerhetsarbete utgår från tre pelare 

• Pelare A: Systematiskt och effektivt cybersäkerhetsarbete 

  För att förbättra Sveriges motståndskraft, framhåller strategin behovet att alla organisationer i samhället bör stärka sitt systematiska och riskbaserade cybersäkerhetsarbete. Det innebär bland annat att höja säkerhetsnivån i digitala leveranskedjor och produkter samt skydda kritiska system och verksamheter. Detta inkluderar behovet av förbättrad cybersäkerhet inom statlig och kommunal informationshantering samt kritisk infrastruktur. För att underlätta för små och medelstora företag i deras cybersäkerhetsarbete föreslås förenklade regelverk. 

• Pelare B: Utvecklad kunskap och kompetensutveckling inom cybersäkerhet 

  Strategin lyfter behovet av ökad medvetenhet och kompetens inom cybersäkerhet på alla nivåer i samhället. Cybersäkerhet bör integreras i utbildningssystemet, från grundskola till högre utbildning, för att säkerställa att framtida generationer är bättre rustade att hantera cyberhot. Vidare lyfts det att företag och organisationer fortsatt behöver utbilda styrelse, ledning och anställda i cybersäkerhet, för att öka kunskapsnivån inom cybersäkerhet och vikten av risk- och kontinuitetshantering för att stärka den digitala operativa motståndskraften.

• Pelare C: Förmåga att förhindra och hantera cybersäkerhetsincidenter 

  För att stärka samhällets förmåga att förebygga och hantera cybersäkerhetsincidenter beskrivs vikten av samarbete och förbättrad informationsdelning mellan olika samhällsaktörer. Antalet rapporterade cyberincidenter behöver öka, och processerna för incidentrapportering behöver därmed optimeras. För företag och organisationer framhålls vikten av att förbättra sin förmåga att identifiera, hantera och rapportera incidenter. Strategin beskriver vidare vikten av att aktivt delta i privat-offentlig samverkan för att stärka både organisationens egen incidenthanteringskapacitet och det nationella systemet för incidenthantering.  

PwC:s kommentarer på strategin 

En viktig parameter i det aktiva cybersäkerhetsarbetet är att strukturerat och metodiskt arbeta med granskning av leverantörsavtal. Det är avgörande att cybersäkerhetskraven är tydligt definierade och att företag säkerställer efterlevnad av dessa krav i praktiken. Företagen bör också identifiera eventuella koncentrationsrisker eller monoberoenden, det vill säga situationer där det saknas alternativ om en tjänst eller infrastruktur skulle sluta fungera. Inom den finansiella sektorn har införandet av DORA lett till att många företag har behövt omvärdera sina tidigare processer kring avtalshantering. Dessa förändringar kan vara komplexa och resurskrävande, men vi på PwC anser att det är positivt att företagen nu arbetar mer aktivt och strukturerat med sina cybersäkerhetsstrategier. Detta proaktiva arbete bidrar till en ökad säkerhet och robusthet i hela sektorn. 

Utbildning inom cybersäkerhet är en annan viktig komponent för att stärka organisationens kultur kring säkerhetsfrågor. Dessutom kan det ge en affärsmässig fördel. När medarbetare är medvetna och välutbildade har de också en högre förmåga att hantera hot mer effektivt vilket bygger förtroende hos kunder och partners. Med en ökad cybersäkerhetskompetens i organisationen ökar sannolikheten till bättre formulerade säkerhetskrav vid exempelvis anskaffning av nya IT-system. 

För att förbättra incidenthanteringen är det både rekommenderat men också i vissa fall krav på att utveckla och implementera tydliga processer för rapportering och hantering av cybersäkerhetsincidenter. Dessa processer bör inkludera väldefinierade instruktioner för identifiering, hantering och rapportering av incidenter samt etablera protokoll för informationsdelning med relevanta parter. Regelbunden granskning och uppdatering av dessa processer, baserat på lärdomar från tidigare incidenter, bidrar till att snabbt begränsa skador och stärka säkerhetsstrukturen. En robust incidenthanteringsstrategi och samarbete med andra aktörer som leverantörer och myndigheter kan stärka organisationens anseende som en pålitlig partner och därmed ge en konkurrensfördel genom att undvika potentiellt kostsamma konsekvenser. 

Fyra frågor för företag och organisationer att ta med sig i cybersäkerhetsarbetet 

• Hur säkerställer vi att vår organisation är förberedd på att hantera cybersäkerhetsincidenter? 
• Hur påverkar beroendet av leverantörer vår organisations cybersäkerhet och vilka åtgärder kan vidtas för att minska dessa risker? 
• Hur kan vi som organisation utnyttja samarbeten och privat-offentlig samverkan för att stärka vår cybersäkerhet och skydda våra digitala tillgångar? 
• Vilka processer har vi för att dela information om incidenter med relevanta myndigheter och andra organisationer? 

Välkommen att kontakta PwC:s rådgivare Marie Strömberg, Martin Lundin, Kristoffer Källström och Henrik Petré om du har frågor kring ditt cybersäkerhetsarbete.