Sverige

Myndigheten för samhällsskydd och beredskap varnar för oförändrat svagt cyberskydd i Sverige

Cybersäkerhetskollen 2025 visar brist på grundskydd i styrsystem för vatten och el trots ny lag och skärpta krav, staten svarar med fler mätningar och omorganisation medan nästan inga når upp till regler som funnits sedan 2009

Bilder

Larmet: Allvarliga luckor i Sveriges digitala försvar Larmet: Allvarliga luckor i Sveriges digitala försvar di.se
Mikael Eriksson är etisk hackare på Orange Cyberdefense.Foto: Jack Mikrut (Di) Mikael Eriksson är etisk hackare på Orange Cyberdefense.Foto: Jack Mikrut (Di) Jack Mikrut (Di)
Hit men inte längre.Foto: Jack Mikrut (Di) Hit men inte längre.Foto: Jack Mikrut (Di) Jack Mikrut (Di)
Här hackas det, etiskt.Foto: Jack Mikrut (Di) Här hackas det, etiskt.Foto: Jack Mikrut (Di) Jack Mikrut (Di)
It-attacken tvingade Coop att stänga i princip alla sina butiker i Sverige.Foto: Ali Lorestani/TT It-attacken tvingade Coop att stänga i princip alla sina butiker i Sverige.Foto: Ali Lorestani/TT Ali Lorestani/TT

Trots ett försämrat säkerhetsläge och en ny cybersäkerhetslag som började gälla i januari blir Sveriges motståndskraft mot digitala angrepp inte bättre. Det konstaterar Myndigheten för samhällsskydd och beredskap i sin årliga genomlysning ”Cybersäkerhetskollen 2025”. Enligt Dagens Industri saknas grundläggande skydd i stora delar av de system som driver samhällsbärande funktioner som vattenrening och elförsörjning.

Siffrorna är mindre betryggande än de låter. Nästan sex av tio granskade organisationer saknar förutsättningar för ett systematiskt informationssäkerhetsarbete, och bara 9 procent av statliga myndigheter når en nivå som tyder på att de följer krav som i olika former funnits sedan 2009, rapporterar DI. Svagast står den så kallade operativa tekniken – industriella styrsystem – där nio av tio organisationer saknar grundskydd och ingen når en ”kvalificerad” nivå. I en ekonomi som digitaliserat kritisk infrastruktur snabbare än man bytt ut gammal utrustning blir styrsystemen den plats där ett kapat leverantörskonto kan få fysiska följder.

Leverantörskedjorna är den andra strukturella luckan. Rapporten slår fast att sju av tio organisationer saknar grunderna för att säkra sina digitala leverantörsnät, trots att mer än 40 procent av de rapporterade it-incidenterna 2023 inträffade hos leverantörer snarare än hos slutorganisationerna. Sverige har redan sett vad det innebär: angreppet 2021 mot it-leverantören Kaseya tvingade Coop att stänga större delen av sina butiker när kassorna slutade fungera, ett exempel DI tar upp via en intervju med Orange Cyberdefenses Mikael Eriksson.

Resursbrist förklarar en del av stilleståndet. 65 procent av organisationerna uppger att de saknar personal för att förbättra läget. Men myndigheten pekar också på ett återkommande mönster: uppföljning och utvärdering prioriteras ned – arbete som är svårt att sälja in i en pressrelease men som avgör om skydden faktiskt fungerar. En annan spärr är den låga medverkan från näringslivet i den nationella mätningen. Trots att de flesta verksamheter som omfattas av den nya lagen är privata företag deltog bara 20 privata bolag i granskningen, vilket gör det svårt att få en nationell helhetsbild.

Myndighetens botemedel är mer rapportering och skarpare måltal. Den rekommenderar ett nationellt mål att alla berörda verksamhetsutövare ska nå kvalificerad nivå till 2030 och föreslår obligatoriskt deltagande i framtida kontroller om den frivilliga medverkan inte ökar. Från juli flyttas ansvaret för frågorna till Nationellt cybersäkerhetscenter, vilket lägger ytterligare ett samordningslager ovanpå ett problem som i grunden tycks handla om enkel verkställighet.

Dagens Industris rapportering lämnar en tydlig kontrast: Sverige har skärpt de juridiska skyldigheterna och organiserat om tillsynen, men styrsystemen som håller vattnet rent och elen stabil hamnar fortfarande längst ned på skalan.