Nationell strategi för samhällets informations- och cybersäkerhet

Den nationella strategin för samhällets informations- och cybersäkerhet uttrycker regeringens övergripande prioriteringar och målsättningar. Den är en plattform för Sveriges fortsatta utvecklingsarbete inom området.

Strategin ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cyber­säkerhet samt att höja medveten­heten och kunskapen i hela samhället. Strategin omfattar statliga myndig­heter, kommuner och landsting, företag, organisa­tioner och privatpersoner.

För att främja målen för Sveriges säkerhet och it-politik är det sex områden inom samhällets informations- och cyber­säkerhet som behöver prioriteras.

Strategins sex strategiska prioriteringar

Översikt över regeringens aktiviteter för att nå målen i strategin

1. Säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet

Informations- och cyber­säkerhet angår hela samhället och alla behöver ta sitt ansvar. Förut­sätt­ningarna för att bedriva ett systematiskt informations­säkerhets­arbete på ett mer enhetligt och samordnat sätt behöver förbättras. Dessutom behöver samverkan och informations­delning på informations- och cyber­säkerhets­området stärkas.

Illustration: MSB

2. Öka säkerheten i nätverk, produkter och system

Samhället är i dag beroende av elektroniska kommunikationer och dessa måste därför vara effektiva, säkra och robusta samtidigt som de tillgodoser användarnas behov. Det krävs en ökad säkerhet i industriella informations- och styrsystem som t.ex. styr och övervakar eldistribution och dricksvattenförsörjning. Tillgången till säkra kryptosystem för it- och kommunikationslösningar måste också motsvara behoven i samhället.

3. Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter

För att kunna minska konsekvenserna av cyberattacker och andra it-incidenter krävs såväl ökad samverkan och planering som adekvata tekniska hjälpmedel. För Sveriges mest skyddsvärda verksamheter, inklusive sådana system som är vitala för totalförsvaret, ska det finnas ett utvecklat cyberförsvar med en förstärkt militär förmåga att möta och hantera angrepp från kvalificerade motståndare i cyberrymden.

Foto: Regeringskansliet

4. Öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet

Antalet anmälda it-relaterade brott ökar kraftigt. Förmågan att förebygga och bekämpa dessa brott måste stärkas genom en anpassad lagstiftning, utvecklad kompetens och organisation samt ett förstärkt internationellt samarbete. Fler aktörer utöver de brottsbekämpande myndigheterna behöver därutöver aktivt delta i det förebyggande arbetet.

5. Öka kunskapen och främja kompetensutvecklingen

För att kunna fokusera på de mest angelägna säkerhetsbehoven behövs ökad kunskap och fler kartläggningar av informationssäkerheten i samhället. Såväl högre utbildning, forskning och utveckling som regelbunden övningsverksamhet är av avgörande betydelse på detta område.

6. Stärka det internationella samarbetet

Vi är inte ensamma om att möta utmaningarna inom informations- och cybersäkerhet. Internationella samarbeten kring cybersäkerhet, både inom EU och i andra internationella organ, behöver stärkas inom ramen för målsättningen om ett globalt, tillgängligt, öppet och robust internet som präglas av frihet och respekt för mänskliga rättigheter.

Foto: Amijo Cajander

Nationellt cybersäkerhetscenter

Regeringen har fattat beslut om att ge Försvarets radioanstalt, Försvars­makten, Myndig­heten för sam­hälls­skydd och beredskap och Säker­hets­polisen i uppdrag att inrätta ett nationellt cyber­säkerhets­center. Syftet är att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera cyberhot.

NIS-direktivet

Nätverk och informa­tions­system spelar en allt viktigare roll i samhället. Deras tillför­lit­lighet och säkerhet är grund­läggande för ekonomisk och sam­hällelig verk­samhet och den inre mark­nadens funktion. Europa­parla­mentet och rådet antog därför år 2016 ett direktiv om åtgärder för en hög gemen­sam nivå på säkerhet i nätverk och informa­tions­system inom hela EU, det så kallade NIS-direktivet. Lag (2018:1174) om informa­tions­säkerhet för sam­hälls­viktiga och digitala tjänster genomför NIS-direktivet i svensk rätt.

Den nya lagen trädde i kraft 1 augusti 2018 och innebär bland annat att
• vissa leveran­törer av sam­hälls­viktiga och digitala tjänster ska vidta säker­hets­åtgärder till skydd för säker­heten i nätverk och informa­tions­system,
• leveran­törerna ska rappor­tera incidenter som påverkar kontinui­teten i tjänsterna och
• den myndighet som regeringen bestäm­mer ska utöva tillsyn över att lagen och före­skrifter som har meddelats i anslut­ning till den följs, och ska kunna besluta om vites­före­läggande och sanktions­avgift mot den som inte följer lagens bestäm­melser.

En ny version av NIS-direktivet, NIS2, som ska ersätta det ursprung­liga NIS-direktivet, har förhand­lats fram inom EU under första halvåret av 2022. En utred­ning om genom­förandet av NIS2-direktivet i svensk rätt kommer att tillsättas under 2022.

Informationssäkerhet för statliga myndigheter

I förordningen (2015:1052) om krisberedskap och bevak­nings­ansvariga myndig­heters åtgärder vid höjd bered­skap finns bestäm­melser om informa­tions­säkerhet för statliga myndigheter samt krav på att skynd­samt rapportera allvarliga it-incidenter i sina informa­tions­system till Myndig­heten för sam­hälls­skydd och beredskap (MSB).

Pågående och kommande utredningar

Regeringen kommer under 2022 att tillsätta en utredning om genomförandet av NIS2-direktivet. NIS2 syftar till att öka motståndskraften på cyberområdet och omfattar såväl privata som offentliga aktörer inom ett femtontal sektorer som alla har samhällsviktig betydelse. NIS2 ska ersätta det nuvarande NIS-direktivet från 2016 som är genomfört i Sverige genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.