Stora investeringar krävs för att leva upp till framtidens säkerhetskrav

Förra veckan anordnade Myndigheten för samhällsskydd och beredskap (MSB) Cybersäkerhetskonferensen 2024 i samarbete med EU-initiativet Cybersecurity Competence Centre (ECCC). Fokus låg på EU-direktivet NIS2, en mer omfattande säkerhetreglering för verksamheter som kommer att implementeras som den nya Cyberäkerhetslagen i Sverige och förväntas träda i kraft den 1 januari 2025.

De nya och kommande lagkraven för dataskydd sätter stor press på landets it-avdelningar. Och hotet kommer från två håll: från ny lagstiftning, men också från de undantag som historiskt sett har beviljats samhällsviktiga verksamheter i förhållande till tidigare reglering.

Se det som en strategisk investering

Myndigheters och allmänhetens tolerans för beviljade undantag sjunker i takt med att insikten om den faktiska hotbilden. Det är alltså hög tid för offentliga verksamheter att sluta se regelefterlevnad och informationssäkerhet som en verksamhetskostnad, och börja betrakta det som en strategisk investering.

Redan i dag uppger fyra av tio it-chefer att den allokerade budgeten för cybersäkerhet fortfarande är för låg. Än värre ser det ut i offentlig sektor där beslutsprocesserna för ändrade budgetar är längre och mer komplicerad. Det visar analysföretaget Radars cybersäkerhetsrapport för 2024.

Sveriges nuvarande säkerhetsskyddslag har redan fem år på nacken. Till skillnad från många andra lagar på säkerhetsområdet är straffen för brott mot lagen skarpa. Vid allvarlig oaktsamhet kan generaldirektörer och andra ansvariga nyckelpersoner få upp till fyra års fängelse.

Strategin fungerar inte längre

Fem år kan kännas som en evighet, men få offentliga verksamheter klarar i dag kraven på en högre säkerhetsklassning. Därför beviljar de ackrediterande myndigheterna som regel undantag från kraven. Detta eftersom en fullständig efterlevnad anses så verksamhetsstörande att det inte anses rimligt att alla åtgärder ska kunna genomföras omedelbart.

Givet säkerhetsläget och utvecklingen i Sveriges närområde är det rimligt att anta att de ackrediterande myndigheterna kommer att tillåta färre undantag framöver, och inga alls på sikt

I praktiken innebär det att det utvecklats en praxis som ger myndigheter och företag möjlighet att skjuta investeringar på framtiden. Att ta en kostnad för att nå längre än vad de reglerande myndigheterna kräver, är svårt att motivera för skattebetalare eller anslagsgivare. Särskilt om beslutet hamnar i knät på säkerhets- eller it-chefen. I stället väljer organisationer att avvakta med åtgärder tills undantagen tas bort.

Den strategin har fungerat, men inte längre. Givet säkerhetsläget och utvecklingen i Sveriges närområde är det rimligt att anta att de ackrediterande myndigheterna kommer att tillåta färre undantag framöver, och inga alls på sikt. Dessutom är det troligt att fler samhällsviktiga verksamheter än i dag kommer att omfattas av säkerhetsskyddslagens krav på ackreditering. Därför är det hög tid att agera.

Nödvändiga medel måste anslås

Det bästa sättet att undvika skenande kostnader eller panikåtgärder som gräver djupa hål i redan ansträngda budgetar är att redan nu börja inventera verksamhetens beviljade undantag och lägga en plan bortom vad de ackrediterande kräver av er. Det finns verktyg att tillgå för den som vill förenkla processen, men det kräver vilja och engagemang från högsta nivå.

Det handlar inte längre om här och nu, utan om att långsiktigt säkra myndigheter och förvaltningars verksamhet. Vare sig det handlar om yttre hot, inre brister eller hotande viteskrav på grund av indragna undantag. Därför måste säkerhetsfrågan och dess finansiering lyftas upp både en och ett par nivåer, så att den inte trycks in i en redan ansträngd it-budget.

Detta är en fråga för generaldirektörer, styrelser och de politiker som anslår de nödvändiga medlen. Om de inte agerar, kommer det offentliga Sverige få svårt att nå lagstiftarnas mål om ett robust och motståndskraftigt land i en orolig tid.