Självstyre en baksida i offentligt cybersäkerhetsarbete

Enligt årets CIO Analytics-rapport övar endast 7 procent av Sveriges kommuner på sina beredskapsplaner regelbundet – bland hela landets offentliga sektor ligger siffran på 11 procent. Detta är enligt rapporten en lägre siffra jämfört med offentlig sektor i andra nordiska länder.

Självstyret en utmaning

CIO Analytics-redaktionen har pratat om resultaten med Lars Nicander, statsvetare och tidigare chef för Centrum för asymmetriska hot- och terrorismstudier (CATS) vid Försvarshögskolan, som menar att en grundläggande orsak till att det ser ut som det gör är det kommunala självstyret.

– Detta självstyre gör att kommuner och regioner inte behöver förhålla sig till statliga rekommendationer eller utsättas för tillsyn gällande dessa. I alla andra länder har man ministerstyre som medger enhetlighet beträffande skyddspolicy. I Sverige har vi fullständigt fragmenterade lösningar som kommer fram underifrån, exempelvis Cosmic, där gränssnitten och kontrollerna inte är harmoniserade med policys på statlig nivå. 

För att få till en förändring skulle Lars Nicander vilja se starkare styrformer mot regioner och kommuner – idag finns endast förordningar och föreskrifter som inte är lagstiftade. Sveriges kommuner och regioner (SKR) är enligt Nicander dock traditionellt negativa till alla förslag som uppfattas inskränka det kommunala självstyret.

– Nu är det oklart hur Försvarets radioanstalt (FRA), som tagit över merparten av cybersäkerhetsansvaret via Nationellt center för cybersäkerhet (NCSC) kan påverka medelprioriteringar till kommunerna, då det fortfarande är Myndigheten för civilt försvar (MCF) som har ett övergripande ansvar med ett samordningsforum. 

Positiv till regeringssatsningar

På ett mer positivt plan välkomnar Lars Nicander att regeringen nyligen avsatt 25 miljoner kronor till FRA och NSCS så att de kan genomföra pentester på kommuner. Pentester, kort för penetrationstester, är simulerade, kontrollerade cyberattacker mot en organisations it-system. Kommuner behöver själva ansöka om bidrag för att bli testade.

Nicander ställer sig också positiv till att kommuner har fått bidrag från regeringen för att stärka NIS2-arbetet.

– Pentester brukar vara en bra ingång till probleminsikt och ett mer lösningsorienterat cybersäkerhetsarbete. NIS2 har ännu inga utarbetade föreskrifter från tillsynsmyndigheterna, förutom PTS mot sina myndigheter. CER-direktivet är inte heller färdigt för implementering vilket i många fall kan bibehålla klyftan mellan CIO-nivån och politiken i kommunerna. Därför känns pentester än mer angeläget med praktiska och synbara effekter.

 Privat sektor övar mer

CIO Analytics-rapporten visar även att Sveriges privata sektor är bättre på att öva sina beredskapsplaner än den offentliga sektorn. I den privata sfären övar 20 procent regelbundet. Enligt Lars Nicander beror detta på att konsekvenserna vid incidenter är större för företag. 

– En cyberincident i en kommun leder sällan till direkt ingripande och kännbara effekter – även om det kan handla om ransomware. När det gäller incidenter och intrång mot företag får det normalt en omedelbar påverkan på ekonomi och varumärke, vilket gjort att den privata sektorn under senare år har steppat upp. Det behöver vår offentliga sektor också göra.