Regeringens vision är ett motståndskraftigt Sverige med en hög nivå av cybersäkerhet1, där samhällsviktig verksamhet kan upprätthållas även vid cybersäkerhetsincidenter. För att uppnå denna vision krävs ett förstärkt cybersäkerhetsarbete och ett fördjupat och målinriktat samarbete mellan staten, näringslivet och akademin. Sverige ska dra full nytta av internationella samarbeten på cybersäkerhetsområdet inom EU, Nato och bilateralt med partnerländer för att aktivt stärka såväl vår nationella cybersäkerhet som den hos andra medlemsstater, allierade och partners.

Visionen understryker vikten av att få grundläggande och förstärkt cybersäkerhet på plats, samt vikten av fungerande samarbete mellan nyckelaktörer inom cybersäkerhetsområdet, såväl i fredstid som i krig. Ett välfungerande Nationellt cybersäkerhetscenter (NCSC) som bidrar till att samordna samhällets arbete med att stärka den nationella cybersäkerhetsförmågan behövs och kommer också sektorsansvariga myndigheter till gagn i deras arbete med att ta fram välanpassade krav. Detta är en grundförutsättning för hög cybersäkerhet och höjer den nationella förmågan att förebygga, förbereda sig för, förstå, bemöta och utvärdera cybersäkerhetsincidenter. Det bidrar också till en robust bas för det civila försvaret och till ett effektivt cyberförsvar samt bidrar till att stärka svenska företags position och konkurrenskraft.

Allt detta ska sammantaget leda till ett säkrare Sverige.

2Den nationella cybersäkerhetsstrategins utgångspunkter

Den nationella strategin för cybersäkerhet utgår från nationella behov och från NIS 2-direktivet2 och dess allriskperspektiv för att hantera en bredd av utmaningar såsom kompetensbrist, komplex reglering, sårbara leveranskedjor och bristande systematiskt cybersäkerhetsarbete. Mot bakgrund av det säkerhetspolitiska läget fokuserar strategin därtill i vissa delar särskilt på antagonistiska hot i hela hotskalan.3 Strategin ersätter den tidigare strategin Nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213).

Ett systematiskt och riskbaserat cybersäkerhetsarbete hos samhällets alla organisationer utgör, tillsammans med säkerhetsskydd och cyberförsvar, Sveriges nationella motståndskraft på cybersäkerhetsområdet. Organisationer används i denna strategi som samlingsbegrepp och avser allt från statliga myndigheter och statligt ägda

1Cybersäkerhet: denna strategi använder likt NIS 2-direktivet termen i -

2 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).

bolag till bland annat kommuner, regioner och privata och kommunala Skr. 2024/25:121 bolag. Med ett systematiskt cybersäkerhetsarbete åsyftas att skyddsåtgärder prioriteras systematiskt och utifrån en bedömning av vilka

risker som är mest sannolika och har störst potentiell påverkan. Säkerhetsskydd avser skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskydd inkluderar även de skyddsåtgärder som genomförs inom informations- och cybersäkerhetsområdet för att upprätthålla

säkerhetsskyddet. Säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955) gäller bland annat för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet. Cyberförsvar är en integrerad del av det militära försvaret och bidrar till Sveriges samlade förmåga att möta ett väpnat angrepp. Cyberoperationer är en lika självklar del av krigföringen i dag som mark-

,sjö-, luft- och rymdoperationer. I fredstid kan Försvarsmaktens cyberförsvarsresurser användas för att stödja samhället under kriser eller andra allvarliga händelser.

Fördjupningsruta Ansvarsprincipen gäller även på cyberområdet Vid en cybersäkerhetsincident kan en krissituation uppstå som konsekvens och ansvarsprincipen därmed bli tillämplig inom den offentliga förvaltningen. Principen innebär att den som i normala fall ansvarar för en verksamhet, till exempel en statlig myndighet eller kommun, också har detta ansvar under en krissituation.4

2.1Målgrupp

Den nationella strategin för cybersäkerhet och den tillhörande handlingsplanen ska vara av värde för hela samhället och alla typer av organisationer, såväl deras ledningar som de funktioner som arbetar med cybersäkerhet. Strategins primära målgrupp är dock myndigheterna med särskilt ansvar för verksamhet som bedrivs inom ramen för NCSC, och tillsynsmyndigheter inom den samlade cybersäkerhetsregleringen samt andra organisationer som ingår i beredskaps- och NIS 2-sektorerna.

2.2Nationell politik för cybersäkerhet

Cybersäkerhet är ett område som sträcker sig över flera fält, politikområden och sektorer. Cybersäkerhetsfrågorna kräver således ett tvärsektoriellt arbete utifrån en rad olika kompetenser. Denna strategi kommer att utgöra regeringens långsiktiga inriktning för det systematiska arbetet med cybersäkerhet tillika regeringens politik för cybersäkerhet. Regeringens arbete med att stärka och bidra till Sveriges cybersäkerhet

4I särskilda fall, till exempel vid det som i NIS 2-direktivet benämns storskaliga cybersäkerhetsincidenter och kriser, ska dock en eller flera behöriga cyberkrishanteringsmyndigheter ansvara för nationell hantering. Detta gäller till exempel

Utöver denna cybersäkerhetsstrategi avser regeringen även att ta fram Skr. 2024/25:121 en strategi i enlighet med CER-direktivet6,7. Cybersäkerhetsområdet har

dessutom naturliga kopplingar till frågor om digital omställning och digital infrastruktur, vilket kommer att beröras ytterligare i regeringens kommande digitaliseringsstrategi.

2.3Internationell kontext för nationell cybersäkerhet

Sveriges cybersäkerhet och reglering på området styrs delvis nationellt men också i ökande grad av den internationella kontexten. Sveriges cybersäkerhetspolitik påverkas av internationell reglering, styrande dokument, policyer och standarder. På lagstiftningsområdet styrs utvecklingen främst av EU-samarbetet. EU-kommissionen har tagit flera initiativ till reglering och normgivning inom cybersäkerhet och digitala frågor, inte minst NIS 2-direktivet. Vidare finns cyberresiliensförordningen8 och cybersäkerhetsakten9, vilka båda är direkt tillämpliga i EU:s medlemsstater. Därtill har Nato ett växande fokus på strategiska cybersäkerhets- och teknikfrågor, och inom Nato bedrivs ett omfattande arbete med cyberförsvar och strategiska tekniker. Den civilmilitära kopplingen inom cybersäkerhetsfrågor understryker vikten av ett samordnat utvecklingsarbete mellan Nato och EU inom cybersäkerhet och cyberförsvar.

Det finns vidare internationella konventioner och avtal som i varierande grad ställer krav på och reglerar frågor om cybersäkerhet för Sverige. Omvänt gäller också att Sverige ställer krav på partnerländer. Att folkrätten gäller i cyberrymden har fastslagits i flera rapporter som antagits av FN:s generalförsamling10. Inom FN har det dessutom utarbetats ickebindande normer för ansvarsfullt statligt uppträdande i cyberrymden. Frågor om hur folkrätten ska tillämpas i olika avseenden diskuteras fortsatt bland annat i FN-sammanhang. Sverige publicerade i juli 2022 en nationell position om folkrätten i cyberrymden och EU:s medlemsstater enades i november 2024 om en deklaration om samma fråga.

Cyberaktivister använder cyberangrepp som metod för att främja politiska eller ideologiska syften bland annat genom att exponera eller manipulera data. Cyberaktivister kan, baserat på politiska eller ideologiska motiv, sympatisera med eller agera för olika statsaktörer.

3.3Hot från cyberbrottslighet och kriminella grupperingar

Antalet kriminella grupperingar som ägnar sig åt cyberbrottslighet3 i form av angrepp på it-system har stadigt ökat. En allt större andel brott begås i digitala miljöer eller med hjälp av digitala verktyg. It-beroende brottslighet kan utgöra hot mot såväl individer, företag och andra organisationer som samhället i stort, där ransomware-angrepp och datastölder är särskilt utmärkande. Denna typ av brottslighet kan få stora konsekvenser för enskilda och leder till stora kostnader för såväl privata som offentliga aktörer. Överbelastningsangrepp utförda av kriminella grupperingar riskerar också att påverka viktiga digitala samhällsfunktioner och förtroendet för dessa funktioner. Både kriminella aktiviteter som initieras av de kriminella grupperingarna själva på eget initiativ och sådana som utförs på uppdrag av någon annan mot betalning,4 spelar en betydande roll i det it-kriminella ekosystemet.

Cyberbrottslighet är gränsöverskridande och drar nytta av nya verktyg, exempelvis baserade på generativ AI och nya kommunikationstjänster. Information som krävs inom ramen för brottsutredningar finns ofta i andra länder, vilket försvårar brottsbekämpande myndigheters möjligheter till lagföring.

3.4Brister i cybersäkerhetsarbetet

Många organisationer har brister i sitt förebyggande systematiska cybersäkerhetsarbete vilket medför att grundläggande säkerhetsåtgärder inte implementeras. Detta utgör en strategisk sårbarhet. Bland annat små kommuner och mindre aktörer, såsom små och medelstora företag, kan sakna ett tillfredsställande cybersäkerhetsarbete av bland annat resurs- och kompetensskäl. Kunskapsnivån om vad som är skyddsvärt i den egna verksamheten är dessutom ofta låg och många verksamhetsutövare har utmaningar i arbetet med att identifiera vilka delar av verksamheten som är säkerhetskänslig, samhällskritisk eller både och, inte minst ur ett tillgänglighetsperspektiv. Detta gör det svårt att ta medvetna beslut om informationshantering i allmänhet och dimensionering av skyddsåtgärder i synnerhet.

3Cyberbrottslighet kan delas upp i två olika typer: it-beroende (cyber dependent) och itrelaterad (cyber enabled). It-beroende brott är till exempel ransomware och DDoS, medan it-relaterade är traditionella brott som använder sig av it, till exempel bedrägerier och illegal försäljning på nätet.

Skr. 2024/25:121 Organisationer som saknar tillräckligt förebyggande cybersäkerhetsarbete brister ofta även i analyser över vilka krav deras itsystem behöver uppfylla baserat på verksamhetens behov. För att effektivt följa lagkrav och uppnå den förbättring som lagstiftaren avsett, krävs att organisationer genomför en grundlig verksamhetsanalys som komplement. Denna analys kan i sig vara komplex och omfattande, särskilt för organisationer som ansvarar för vitt skilda verksamheter och därmed har olika regleringar och krav att förhålla sig till.

3.5Komplex reglering

Ökad reglering på cybersäkerhetsområdet ställer nya krav på organisationer att hantera cyberrelaterade verksamhetsrisker. Ett systematiskt arbete med cybersäkerhetsrisker stärker vanligen organisationers verksamhet och kan på lång sikt även vara kostnadsbesparande. Samtidigt kan betungande reglering också leda till kostnader för såväl privatpersoner och offentliga aktörer som enskilda näringsidkare. Olika regleringar, såväl nationella som internationella, kan samlat innehålla överlappande krav som är svåra att sortera bland, och som skapar utmaningar i att göra adekvata prioriteringar. Detta är särskilt fallet för mindre aktörer som små och medelstora företag med begränsade resurser. Det statliga cybersäkerhetsarbetet är dessutom uppdelat i olika, delvis överlappande ansvarsområden vilket medför att olika statliga myndigheter ansvarar för tillsyn, föreskrifter och vägledning enligt olika regelverk. Detta riskerar att försvåra för enskilda företag och organisationer att följa reglerna.

3.6Kompetens- och kunskapsbrist

Kompetensförsörjning inom cybersäkerhetsområdet har under en lång tid varit en utmaning. Utöver brister i allmän cybersäkerhetskompetens råder det brist på både cybersäkerhetsexperter och personal med relevant utbildning och arbetslivserfarenhet inom angränsande områden såsom säkerhetsskydd och säkerhet inom så kallad operativ teknik5, även kallat OT-säkerhet. Denna brist, som även är global, påverkar såväl offentlig som privat sektor. Därtill är den generella kunskapen om cybersäkerhet ofta begränsad hos yrkesroller såsom chefer, jurister, upphandlare och itutvecklare vilka också sällan arbetar direkt med frågorna. Teknikutveckling och digital omställning bidrar till ett ständigt ökande behov av forskning, kompetens och färdigheter på området. Brist på generell cybersäkerhetskompetens hos organisationer kan dessutom leda till att tydliga krav inte ställs på de för verksamheten viktiga it-systemen. Vidare medför ökad och utvecklad reglering inom cybersäkerhet och säkerhetsskydd samt den återupptagna totalförsvarsplaneringen nya kompetensbehov för både tillsynsmyndigheter och verksamhetsutövare.

Svensk cybersäkerhetsforskning är konkurrenskraftig och det bedrivs Skr. 2024/25:121 framstående forskning vid flera universitet och högskolor. Samtidigt som

ett fåtal forskningsområden inom cybersäkerhet är dominerande bedrivs forskning inom andra angelägna cybersäkerhetsfrågor enbart i begränsad omfattning och tvärvetenskapliga perspektiv saknas ofta. Vidare har koordinering inom cybersäkerhetsforskningen i Sverige ofta saknats.

3.7Bristande incidenthantering

Adekvata arbetssätt för incident- och kontinuitetshantering saknas hos många organisationer och få övar dessa förmågor. Bristande incidenthantering utgör en allvarlig risk för organisationer, särskilt i en tid av ökade cyberhot. Svaga processer ökar organisationers sårbarhet vid cybersäkerhetsincidenter. Bristfällig incidenthantering kan öka risken för förlust av känslig information, förlust av förmågan att tillhandahålla kritiska tjänster och finansiella förluster samt skada förtroendet för en verksamhet.

Cybersäkerhetsincidenter som omfattas av incidentrapporteringskrav ska också rapporteras till behöriga statliga myndigheter, men ett mörkertal i rapporteringen har länge varit en realitet nationellt och internationellt. Detta påverkar möjligheten att skapa en operativ lägesbild och varna andra organisationer, vilket riskerar att förvärra en uppstådd kris. Det minskar också möjligheterna att dra lärdomar och inrikta det förebyggande arbetet.

Mörkertalet i antalet rapporterade cyberbrott försvårar också brottsbekämpande myndigheters förebyggande arbete, operativa hantering och utredning vid cybersäkerhetsincidenter. I förlängningen påverkas möjligheten att lagföra den som har utfört en brottslig handling. Det finns inte någon skyldighet att polisanmäla cyberbrott. Detta ställer krav på skyndsam informationsdelning mellan de myndigheter som tar emot incidentrapportering och brottsbekämpande myndigheter för att öka möjligheten att följa upp brott och att säkra bevis.

3.8Outvecklad informationsdelning mellan den privata och offentliga sektorn

Organisationer är beroende av varandra för att förebygga, uppmärksamma och hantera sårbarheter, hot och cybersäkerhetsincidenter. Privata och offentliga organisationer har tillgång till olika informationsflöden. Expert- och tillsynsmyndigheter tar exempelvis emot incident- och sårbarhetsrapporter, medan privata organisationer innehar majoriteten av samhällets cyberresurser och är centrala för nationell

Incidenter i digitala leveranskedjor, såsom vid systemfel hos leverantörer, kan leda till konsekvenser utanför den organisation som initialt drabbats och kan orsaka störningar i samhällskritiska funktioner. Dagens komplexa beroenden medför dessutom svårigheter att kartlägga sårbarheter i digitala leveranskedjor och försvårar ansvarsutkrävande.

Svag cybersäkerhet hos leverantörer riskerar att påverka säkerheten hos kundorganisationer. Givet att många organisationer är beroende av externt levererade it-driftstjänster, blir organisationer som inte beaktat denna omständighet i sina riskanalyser sårbara om en leverantör misslyckas med att leverera sin tjänst. I sådana fall riskerar organisationen att sakna alternativa lösningar. Det kan vidare innebära allvarliga risker om många organisationer är beroende av samma tjänst eller system.6 Vid sådan oligopol- eller monopolställning minskas också kundens flexibilitet och valmöjligheter, till exempel möjligheten att nyttja alternativa tjänster vid pågående incidenter. Beroenden av digitala produkt- och tjänsteleveranser från organisationer baserade i tredjeland, kan både vara olämpliga och utgöra en sårbarhet som kan användas som politiskt påtryckningsmedel.

Osäkra digitala produkter med låg cybersäkerhet utgör en stor risk för både nationella och internationella leveranskedjor. Osäkerhet och risker uppstår även ofta vid uppdateringar av hård- och mjukvara. På EU-nivå har detta identifierats som nödvändigt att åtgärda och är i fokus för cyberresiliensförordningen som syftar till att höja tillverkares och leverantörers ansvar för cybersäkerhet och att produkter med digitala element placeras på inre marknaden med färre sårbarheter.7 Utveckling och bred användning av internationella säkerhetsstandarder på teknik- och cybersäkerhetsområdet kan också bidra till mer robusta leveranskedjor. Utvecklingen av internationella standarder präglas dock i ökad grad av geopolitisk konkurrens.

3.10Utmaningar kopplat till utvecklingen i digital infrastruktur och digitala tjänster

Sveriges digitala infrastruktur utvecklas kontinuerligt. Nya generationers mobilnät rullas ut och rymden är också en infrastrukturdomän för mobildatakommunikation. Behoven av tillförlitlig och säker digital infrastruktur samt digitala tjänster växer i betydelse och omfattning. Det skapar många nya möjligheter, men ställer också höga krav på både

6Okända brister hos och/eller brister i kravställning mot en it-leverantör som levererar itstöd till många organisationer riskerar att leda till stora störningar inom såväl privat som offentlig sektor i Sverige. Konsekvensen av att licensavgifter höjs, eller att tjänster upphör, riskerar också bli stora.

7 Den inre marknadens sårbarhet för låg cybersäkerhet är också i fokus för certifieringsramverket som etablerats i cybersäkerhetsakten. Möjligheten att genom certifiering visa uppfyllnad av cybersäkerhetskrav finns reglerat i flera EU-akter såsom NIS 2-direktivet, cyberresiliensförordningen, AI-förordningen och den reviderade eIDAS-

12förordningen.

upphandlingsförmåga och en väl utvecklad hantering av sårbarheter och Skr. 2024/25:121 beroenden för såväl privata som offentliga alternativ.

3.11Utmaningar med uppkoppling av enheter och infrastruktur

Processer inom kritisk infrastruktur8 som tidigare varit manuella eller mekaniska har med tiden digitaliserats alltmer. Denna utveckling förstärks av framväxten av nya så kallade IoT-enheter, som ständigt är uppkopplade, och som kan användas bland annat för att styra och övervaka processer. De system som används inom kritisk infrastruktur har tekniska förutsättningar som särskiljer dem från traditionella it-system och gör dem komplexa att skydda. Säkerhetsarbete inom OT-säkerhet utgör därför en utmaning, bland annat mot bakgrund av kompetensbristerna på området.

IoT-enheter med svag säkerhet kan medföra betydande cybersäkerhetsrisker och kan om de är anslutna till organisationers övriga it-infrastruktur utlösa cybersäkerhetsincidenter. Även för privatpersoner kan IoT-konsumentprodukter med låg säkerhet innebära risker. Sådana produkter kan också nyttjas i botnätverk och användas av hotaktörer för överbelastningsattacker mot andra organisationer.

3.12Teknikutvecklingen

Utveckling av strategiskt viktig teknik skapar möjligheter för Sverige. Teknikutveckling kan påverka samhällets säkerhet. Till exempel kan användning av AI-funktioner effektivisera cybersäkerhetsarbetet. Samtidigt kan AI användas för att genomföra cyberangrepp och

desinformationskampanjer med bredare spridning. Cybersäkerhetsincidenter i AI-system får också ökade konsekvenser i takt med att samhällets beroende av sådana system ökar.

Utveckling av kvantteknik och kraftfulla kvantdatorer gör vissa kryptografiska algoritmer alltmer sårbara för forcering. Genom bland annat cyberangrepp, avlyssning och annan underrättelseinhämtning kan kvalificerade hotaktörer få tillgång till krypterade data som de lagrar i syfte att kunna forcera när kvanttekniken i framtiden utvecklats.

8Kritisk infrastruktur innefattar bland annat tjänster och tillhandahållare av dessa inom sektorerna finans, transport, energi och elektronisk kommunikation. Det kan också handla om it-infrastruktur som används brett inom statlig och kommunal förvaltning. Denna uppräkning ska dock inte ses som uttömmande eller som en legal definition. Kritisk infrastruktur innefattar en mängd verksamheter, varav många omfattas av NIS 2-direktivet, säkerhetsskyddsregleringen eller andra sektorsspecifika unionsrättsakter som innehåller motsvarande cybersäkerhetskrav såsom Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr

Pelaren Systematiskt och effektivt cybersäkerhetsarbete handlar om att öka svensk motståndskraft genom att ge förutsättningar för alla samhällets organisationer att stärka sitt systematiska cybersäkerhetsarbete, om att öka säkerheten i digitala leveranskedjor och produkter, och om att skydda kritiska system och verksamheter.

Utöver aktiviteterna i handlingsplanen gäller följande övergripande resultatindikatorer för pelare A:

Antalet organisationer som nyttjat NCSC:s råd och stöd inom cybersäkerhetsområdet har ökat.

Antalet statliga myndigheter som genomfört cybersäkerhetsmätningar har ökat.

Andelen organisationer som genom systematiska arbetssätt implementerat cybersäkerhetsåtgärder, både administrativa och tekniska, har ökat.

14

Skr. 2024/25:121 En gemensam och dimensionerad nationell cybersäkerhet som bygger på reglerad kravställning, fastställda säkerhetsnivåer och nationellt kravställda produkter och tekniska lösningar har implementerats i skyddsvärda verksamheter såväl offentligt som privat.

4.1.2Mål 2: Stärkt cybersäkerhet i statlig och kommunal förvaltnings informationshantering

Att den offentliga sektorn kan säkerställa en hög nivå av cybersäkerhet är avgörande för att upprätthålla ett högt förtroende för offentliga institutioner. Statliga myndigheters, kommuners och regioners förutsättningar och resurser att bedriva ett fullgott cybersäkerhetsarbete skiljer sig samtidigt åt. Rysslands fullskaliga invasion av Ukraina har också aktualiserat frågan om statens förmåga att upprätthålla samhällsviktiga tjänster och kritisk infrastruktur samt skydda viktiga grunddata även i kris och ytterst krig.

Önskat läge 2030:

Berörda statliga myndigheters verktyg för cybersäkerhetsmätningar utvecklas och får större genomslag i att stödja andra organisationer med att kartlägga det interna cybersäkerhetsarbetet. Tillhörande råd om vilka åtgärder som organisationer, utifrån deras resultat i cybersäkerhetsmätningar, bör vidta har utvecklats och fått större genomslag. Kraven i den svenska reglering som genomfört NIS 2- direktivet har lagt en god grund för att höja cybersäkerheten i den offentliga förvaltningen vilket också framgår i förmågebedömningar av aktörernas cybersäkerhet inom det civila försvaret. Enhetliga säkerhetskrav och säkerhetsnivåer i den offentliga sektorn främjar upprätthållandet av cybersäkerhet i hela hanteringskedjan och en gemensam stark cybersäkerhet.

Statliga myndigheter erbjuder samordnade, säkra och i möjligaste mån kostnadseffektiva alternativ för gemensam digital infrastruktur och ittjänster, vilket har underlättat för aktörer med bristande cybersäkerhetsförmåga och bidragit till att säkerställa samhällsfunktioner genom hela konfliktskalan. Ramavtal finns på plats med cybersäkerhetskrav som skyddar konfidentialitet, riktighet och tillgänglighet. Upphandling med adekvata krav resulterar i avtal med robusta säkerhetskrav som leder till väl fungerande tjänster, säker hantering av information, samt innovation inom säkerhetsområdet. Sammantaget tryggas samhällets tilltro till att rätt information alltid finns tillgänglig för rätt part.

Statliga myndigheters nationella insatser kring tekniskt stöd är kostnadseffektiva och möter målgruppens behov. Fler kollektiva tekniska säkerhetslösningar erbjuds centralt och stöttar särskilt cybersäkerheten hos små organisationer i myndighetssektorerna och i kommuner och regioner där information som är av betydelse för samhällskritisk och samhällsviktig verksamhet återfinns. Kommuner och regioner har identifierat och implementerat fler effektiva gemensamma metoder för att höja sin kollektiva cybersäkerhet.

16

Att kritisk infrastruktur kan upprätthållas är nödvändigt för samhällets säkerhet och stabilitet. Många av de tjänster och funktioner som utgör kritisk infrastruktur tillhandahålls av privata organisationer. Cybersäkerhetsarbetet för operatörer av kritisk infrastruktur behöver bland annat därför utgå från verksamheternas individuella förutsättningar, men också från deras särskilda sårbarheter och den specifika hotbild som riktas mot den aktuella verksamheten. Samhällets beroende av dessa verksamheter gör deras cybersäkerhetsarbete centralt. Stärkt cybersäkerhetsarbete bidrar också till att försvåra för hotaktörer att rikta cyberattacker mot kritisk infrastruktur som en del av hybridaktiviteter för att påverka Sverige.

Önskat läge 2030:

Operatörers skydd av kritisk infrastruktur, inklusive säkerhetsarbetet inom OT, dimensioneras utifrån infrastrukturens samhällsbetydelse och antagonistiska hotbild. Säkerhetsövervakning av it- och OT-system inom kritisk infrastruktur stimuleras. Sektorsansvariga myndigheter enligt NIS 2-regelverket samt andra berörda statliga myndigheter nyttjar NCSC:s råd och stöd inom cybersäkerhet för att sektorsanpassa vägledningar och andra styrdokument för respektive sektor. Operatörers arbete med att implementera säkerhetsåtgärder stärks därigenom vilket, tillsammans med deras hantering av sårbarheter, leder till höjd motståndskraft. Statliga myndigheter utvecklar stöd för skydd av kritisk infrastruktur. NIS 2- och beredskapsorganisationer tillgodogör sig det stöd och den utbildning som erbjuds inom säkerhet för kritisk infrastruktur. Samarbetet och informationsdelningen mellan statliga myndigheter och operatörer av kritiska system har utvecklats och sammanlänkar sektorer, utifrån att sektorer ofta har tydliga överlapp och beroenden sinsemellan. Övnings- och testverksamhet som möjliggörs genom bland annat cyber rangemiljöer fortsätter utvecklas och nyttjas i bred utsträckning. Sektorsspecifika samarbetsforum har fortsatt en central roll när det gäller samverkan, övningsverksamhet och informationsdelning, och ett ökat samarbete sker mellan statliga myndigheter och näringslivet.

4.1.4Mål 4: Robustare digitala leveranskedjor och minskat beroende

Hantering av digitala leveranskedjor, molntjänster och beroenden utgör en central prioritering för regeringens cybersäkerhetsarbete. För att stärka Sveriges cybersäkerhet behöver monoberoenden och kritiska tredjelandsberoenden identifieras och hanteras och digitala leveranskedjor bli mer robusta.

Önskat läge 2030:

Sverige har en hög ambition i det nationella och det internationella arbetet för säkerhet i digitala leveranskedjor, särskilt på EU-nivå. Statliga

myndigheter ger organisationer, såväl privata som offentliga, vägledning

17

Skr. 2024/25:121 när det gäller inventering av leveranskedjor och utkontraktering. Organisationer inventerar och bedömer säkerheten i sina leveranskedjor samt ställer adekvata cybersäkerhetskrav i avtal med leverantörer. Även de organisationer som inte omfattas av NIS 2-direktivet bedömer beroenden och risker i sina leveranskedjor samt säkerställer nödvändiga reservrutiner.

Bestämmelserna i cyberresiliensförordningen om cybersäkerhet i produkter med digitala element leder till ökad säkerhet i leveranskedjor. Svenska företag som tillämpar säker utveckling av mjukvara och fast programvara samt inbyggd säkerhet är mer konkurrenskraftiga och bidrar till att förse marknaden med produkter med färre säkerhetsbrister. Efterfrågan på säkra produkter bland organisationer i Sverige har ökat, pådrivet av högre och bättre kravställning från den offentliga sektorn när det gäller tjänster och produkters funktion. Sverige slår vakt om fortsatt inflytande inom internationell standardisering och bidrar till välanpassade internationella standarder som främjar säkra leveranskedjor. Berörda statliga myndigheter, i samarbete med näringslivet, verkar bland annat för att nya standarder och europeiska certifieringsordningar för cybersäkerhet utvecklas transparent samt att svenska behov och prioriteringar får genomslag. Organisationer nyttjar cybersäkerhetscertifierade it-tjänster och produkter utifrån sin riskbedömning.

4.1.5Mål 5: Förenklad regelefterlevnad och stärkt funktionellt tillsynsarbete

Regleringen på området kommer kontinuerligt att öka och i takt med växande systemintegration, där fler aktörer blir beroende av varandra, är ytterligare reglering och skärpta cybersäkerhetskrav för fler aktörer att vänta. För att höja samhällets cybersäkerhet, är det därför viktigt att så långt som möjligt förenkla organisationers tillämpning av komplexa regler samt att stärka och samordna tillsynsmyndigheters verksamhet. Förenklad regelefterlevnad kan också stärka konkurrenskraften hos företag.

Önskat läge 2030:

Sverige är, med stöd i genomförda nationella åtgärder, en ledande medlemsstat i utvecklingen av nya internationella regelverk inom cybersäkerhet som innehåller proportionerliga och harmoniserade regler. Statliga myndigheters aktiva deltagande i erfarenhetsutbytet på EU-nivå bidrar till harmoniserade NIS 2-krav mellan medlemsstater. NIS 2- direktivets krav har omsatts i ensade regelverk sektorerna emellan och skapat förutsättningar för effektiv regelefterlevnad. Statliga myndigheter är väl koordinerande när det gäller befintlig reglering i syfte att föreskrifter, allmänna råd och vägledningar så långt som möjligt ensas och följer en likartad logik, struktur och terminologi. NCSC:s råd och stöd i

cybersäkerhetsfrågor kompletterar sektorsmyndigheternas föreskriftsarbete. Genom kontinuerligt utvecklad tillsynsverksamhet stärks efterlevnaden av cybersäkerhetsregleringen. Myndigheter med centrala roller har rätt befogenheter och mandat.

18

Näringslivet står för stora ekonomiska värden kopplat till såväl innovation som produktion och samhällsviktiga tjänster. Små och medelstora företag utgör majoriteten av företagen i Sverige och står sammantaget för en ansenlig del av dessa värden, samtidigt som de generellt sett är mer sårbara än större företag för cybersäkerhetsrisker. När dessa drabbas av cybersäkerhetsincidenter kan omfattande produktionsbortfall, störningar i samhällsviktiga tjänster och ekonomiska konsekvenser uppstå. Vissa små och medelstora företag har god cybersäkerhet, och det finns även ett starkt segment av sådana bolag verksamma inom cybersäkerhetsfältet, men faktorer som bristande cybersäkerhetsmedvetenhet och knappa resurser gör majoriteten av dem sårbara. Dessa löper dessutom ofta stor risk att inte återhämta sig från allvarliga cybersäkerhetsincidenter. Små och medelstora företags motståndskraft och skydd av affärshemligheter är därför en väsentlig del i att slå vakt om Sveriges samlade konkurrens- och motståndskraft.

Önskat läge 2030:

Statliga myndigheter erbjuder i större utsträckning stöd och vägledning som stöttar små och medelstora företag, även till dem som inte omfattas av den svenska reglering som genomfört NIS 2-direktivet. Statliga myndigheters samarbeten med intresse- och företagsorganisationer stimuleras och nyttjas för att motverka digitala brott och öka cybersäkerheten. Teknikföretag tar ansvar för att erbjuda säkra tjänster, vilket indirekt stärker små och medelstora företags cybersäkerhet genom säkrare it-tjänster. Små och medelstora företag nyttjar stöd som erbjuds av organisationer såsom regionala handelskammare och bransch- och intresseorganisationer. Därtill ser aktörerna tillsammans över möjligheterna att nyttja gemensamma tekniska säkerhetslösningar vilket minskar små och medelstora företags behov att med egna resurser och kompetens omhänderta väsentliga områden för att cybersäkra sin verksamhet. EU:s kompetenscentrum för cybersäkerhet nyttjas genom att små och medelstora företag, via det nationella samordningscentret (NCC- SE), kan ansöka om medel för stärkt cybersäkerhetskapacitet.

4.2Pelare B: Utvecklad kunskap och kompetens inom cybersäkerhet

Pelaren Utvecklad kunskap och kompetens inom cybersäkerhet handlar om att öka medvetenheten, utveckla och bygga kompetens inom cybersäkerhet på alla nivåer samt att främja svensk forskning, innovation och säker tillämpning av ny teknik.

Utöver aktiviteterna i handlingsplanen gäller följande övergripande resultatindikatorer för pelare B:

Andelen personer som har nåtts, och tagit till sig av,

informationskampanjer om cybersäkerhet har ökat.

19

arbetsgivare och arbetstagare stärkas för att möta dagens och Skr. 2024/25:121 morgondagens behov inom cybersäkerhet. Befintlig kompetens behöver

utvecklas och ny arbetskraft attraheras.

Önskat läge 2030:

Mer tillämpbara kunskaper i cybersäkerhet får genomslag i utbildningen i grundskolan, anpassade grundskolan, specialskolan och sameskolan. Elever i gymnasieskola, anpassad gymnasieskola och kommunal vuxenutbildning ges förutsättningar att förstå vikten av samhällets cybersäkerhet samt att få praktiska cybersäkerhetsfärdigheter. Både privata och offentliga organisationer bidrar fortsatt med interaktiva utbildningspaket och moduler som kan nyttjas för utbildning och fortbildning inom cybersäkerhet. Högskolor, universitet och yrkeshögskolor överväger om och hur cybersäkerhet bör införas i utbildningar. Därmed blir cybersäkerhet alltmer sammankopplat med alla ämnesområden.

Grundläggande och förutsättningsskapande utbildning för cybersäkerhet, såsom matematik, datavetenskap och kryptologi, står sig fortsatt stark. Interaktiva spel och tävlingar som vänder sig till ungdomar för att stimulera och väcka intresse för praktisk cybersäkerhet har bred spridning.

Cybercampus Sverige utgör ett nav för utbildning inom området och bidrar till förstärkt kompetensförsörjning av cybersäkerhetsexperter inom både offentlig och privat sektor. Organisationer såsom lärosäten, andra myndigheter och utbildningsanordnare inom yrkeshögskolan har tecknat avsiktsförklaringar att ingå i Cybercampus inom ramen för verksamheten. Statliga myndigheter verkar fortsatt för att väcka intresse för arbete inom cybersäkerhet. Berörda statliga myndigheter, kommuner och regioner

samt andra organisationer har ett aktivt branschsamarbete om kompetensförsörjning inom cybersäkerhetsområdet och sprider kunskap om arbetsgivarnas nuvarande och framtida kompetensbehov. Nya målgrupper övervägs i större utsträckning för roller där avsaknad av tidigare erfarenhet eller utbildning inom området kan tillgodoses genom intensiv- och internutbildningar. Livslångt lärande och karriärbyte främjas, med omställningsstudiestödet eller liknande som en möjliggörare. Arbetsgivare säkerställer god fortbildning för anställda som arbetar med cybersäkerhet men också kompetensutveckling för andra medarbetare, chefer och ledning kring cybersäkerhet. Statliga myndigheter och privata organisationer erbjuder trainee-program inom cybersäkerhet i privatoffentlig samverkan. Därtill inspireras organisationer av, och utvärderar hur, lyckade satsningar i andra länder som rör kunskaps- och

erfarenhetsutbyten kan omsättas till en svensk kontext.

4.2.3 Mål 9: Stärkt forskning och innovation på cybersäkerhetsområdet

Pelaren Förmåga att förhindra och hantera cybersäkerhetsincidenter syftar till att stärka förmågan att snabbt identifiera hot och förebygga cybersäkerhetsincidenter genom god informationsdelning samt att stärka det nationella systemet för och samarbetet kring incidenthantering. Hantering av cybersäkerhetsincidenter handlar om att identifiera, svara på och hämta sig från incidenter genom att vara väl förberedd, förstå vad som har hänt och utvärdera om agerandet varit adekvat. Vid cybersäkerhetsincidenter som drabbat flera länder är internationellt samarbete avgörande för en effektiv incidenthantering.

Utöver aktiviteterna i handlingsplanen gäller följande övergripande resultatindikatorer för pelare C:

Andelen organisationer med kvalificerade processer för hantering av cybersäkerhetsincidenter har ökat.

Processer hos berörda statliga myndigheter för att rapportera in incidenter har effektiviserats.

Antalet cybersäkerhetsincidenter som rapporterats in har ökat. Informationsdelning om incidenter har ökat mellan berörda myndigheter.

Återkopplingen från statliga myndigheter som tar emot incidentrapportering till organisationer som rapporterar incidenter har förbättrats.

4.3.1 Mål 11: Effektivare och säkrare informationsdelning nationellt och internationellt

Att kontinuerligt kartlägga, identifiera och bedöma cyberhot på hela skalan kräver ofta omfattande samarbete mellan nationella myndigheter och med myndigheter i andra stater, inte minst genom etablerade samarbeten inom EU och Nato. Samarbete med näringsliv och ideella organisationer ger också viktiga bidrag. Organisationers olika informationsflöden kan innehålla viktig information både för den egna organisationen och för andra när det gäller cybersäkerhetsincidenter, sårbarheter och hot. Ett välfungerande samarbete med hög tillit aktörerna emellan lägger därför grunden för informationsdelning och varningar om relevanta hot och sårbarheter, men också för att utreda och attribuera angrepp.

Önskat läge 2030:

NIS 2-direktivets och cyberresiliensförordningens krav om samordnad delgivning av information om sårbarheter bidrar till ökad informationsdelning om sårbarheter som upptäcks i produkter och tjänster. NCSC har väletablerade metoder för internationellt och privat-offentligt samarbete. Positiva exempel inom privat-offentlig samverkan har vidareutvecklats. Plattformar för att dela säkerhetsrelaterad information etableras, både inom och mellan offentlig och privat sektor, som möjliggör

ökad delning och analys av realtidsinformation på teknisk och operativ

24

nivå. Genom ökad analys av sådan information stimuleras även Skr. 2024/25:121 organisationers möjlighet att implementera, och dela med sig av förslag

på, relevanta säkerhetshöjande åtgärder. Arbetet bidrar också till utvecklade och ändamålsenliga lägesbilder från NCSC till gagn för olika målgrupper samt vidareutvecklad samverkan mellan relevanta myndigheter om attribueringsfrågor. Informationsdelning sker, utifrån lagstiftning och etablerade processer, till gagn för alla inblandade parter och stärker bland annat förmågan att identifiera, hantera och utreda incidenter och angrepp.

Ett utökat internationellt samarbete på cyberområdet bidrar till värdefulla lärdomar om bland annat informationsdelningsmetoder som anpassas till svensk kontext. Privat-offentlig samverkan bidrar till ökad förmåga att upptäcka och motstå cyberangrepp vare sig de utgör en enskild händelse eller en del av en hybridaktivitet.

4.3.2Mål 12: Stärkt privat-offentlig hantering av cybersäkerhetsincidenter

En effektiv samordning är av central betydelse vid cybersäkerhetsincidenter. Lärdomar och erfarenheter behöver få genomslag i utvecklingen av nationell incidenthanteringsförmåga. Anmälnings- och rapporteringsbenägenheten vid incidenter behöver stimuleras, samtidigt som utmaningarna med överlappande rapporteringskrav behöver hanteras. För att effektivt nyttja de samlade utredande och förebyggande resurserna på cybersäkerhetsområdet behöver också myndigheters informationsdelning om incidenter vara ändamålsenlig. Sveriges förmåga att identifiera, hantera och bemöta cybersäkerhetsincidenter ska stärkas.

Önskat läge 2030:

Statliga myndigheter utvecklar kontinuerligt den nationella operativa förmågan för stöd och hantering vid cybersäkerhetsincidenter. NCSC utvecklar och stärker Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot och andra it-incidenter. Privatoffentligt samarbete kring cybersäkerhetsincidenter har utvecklats och nyttjar den incidenthanteringskompetens som finns i privat sektor. Organisationer inom berörda sektorer har NCSC som kontaktpunkt vid hantering av cybersäkerhetsincidenter2. Regelbundna incidentövningar sker inom och mellan organisationer. Nationell övningsverksamhet fortsätter bedrivas och utvecklas. Statliga myndigheter har etablerat gemensamma plattformar för incidentrapportering vilket underlättar för organisationer både att utföra sin rapporteringsplikt och att få återkoppling och stöd samtidigt som ökad informationsdelning mellan relevanta myndigheter förenklas. Statliga myndigheters kommunikation om förmågehöjande åtgärder relaterat till sannolikhet eller konsekvens för en incident sker löpande. Kommunikation mellan mottagande statliga myndigheter och drabbade organisationer, under och efter att en

2Detta gäller dock inte för exempelvis säkerhetshotande händelser enligt

Skr. 2024/25:121 cybersäkerhetsincident inträffat, utvecklas. Organisationers rapporterings- och anmälningsbenägenhet vid cybersäkerhetsincidenter ökar.

Sverige har också aktivt deltagit i samordnad hantering av storskaliga cybersäkerhetsincidenter inom ramen för samarbetsförfaranden på EU- nivå och bidragit till ett effektivt gränsöverskridande samarbete på operativ nivå mellan medlemsstaterna.

4.3.3Mål 13: Utvecklad förmåga att förebygga och bekämpa cyberbrott

Cyberbrott utvecklas ständigt och genererar stora brottsvinster. Detta medför utmaningar för rättsvårdande myndigheter och ett behov av kontinuerligt utvecklingsarbete för att möta nya utmaningar. Den ökande andelen brott med digitala element belyser kopplingen mellan cybersäkerhetsarbetet och bekämpningen av cyberbrottslighet, där stärkt cybersäkerhet leder till färre cyberbrott. Detta understryker vikten av att brottsbekämpande myndigheter behöver öka sina förmågor att utreda och lagföra digitala brott.

Anmälningsbenägenheten till brottsbekämpande myndigheter behöver också öka. Mängden cyberangrepp mot svensk, digital kritisk infrastruktur eller enskilda personer från utlandet visar att det är viktigt att Sverige deltar aktivt i internationella samarbeten som syftar till att bekämpa ransomwareangrepp och datastölder.

Önskat läge 2030:

Brottsbekämpande myndigheters utveckling av specialistfunktioner för cyberbrottslighet har inneburit en förbättrad förmåga att bekämpa denna brottslighet. Samarbetet mellan NCSC och brottsbekämpande myndigheters specialistfunktioner har bidragit till bättre lägesbilder. De brottsbekämpande myndigheternas förmåga att inhämta information i digitala system och från kommunikationstjänster har utvecklats. Därtill har lagstiftningen utvecklats, bland annat genom EU:s förordning om europeiska bevarande- och utlämnandeorder för elektroniska bevis. Bekämpningen av den kriminella ekonomin har förstärkts och brottsvinsterna från cyberbrott har minskat.

Statliga myndigheters kompetensförsörjning när det gäller digital brottsbekämpningsförmåga har stärkts och kunskapen om kriminella aktörers tillvägagångssätt och effekter av motåtgärder har ökat. De operativa samarbetsmöjligheter som erbjuds av Eurojust och Europol har förstärkts och nyttjas i större omfattning.

Berörda statliga myndigheters stöd och rådgivning om hantering och förebyggande av cyberbrottslighet har ökat. Brottsförebyggande samarbeten mellan ideell sektor, näringslivet och statliga myndigheter har vidareutvecklats. Mörkertalen för rapporterade digitala brott har minskat och närmar sig i vart fall rapporteringsgraden för fysiska brott.

Den nationella strategin för cybersäkerhet ger inriktningen för regeringens arbete med frågor av betydelse för Sveriges cybersäkerhet. Strategin kommer regelbundet och minst vart femte år att utvärderas på grundval av strategins resultatindikatorer i enlighet med NIS 2-direktivets krav.

Av bilagd handlingsplan framgår att strategin kommer att omsättas i konkret handling bland annat genom specifika uppdrag och styrning av myndigheter. Det kan också krävas andra regeringsbeslut för att genomföra strategin i denna del. Teknik- och hotutvecklingen innebär att cybersäkerhetsområdet förändras och utvecklas i snabb takt och det krävs därför flexibilitet i genomförandet av strategin. Handlingsplanens innehåll kommer därför att uppdateras löpande. Därutöver kommer utvärdering och revidering av handlingsplanens innehåll att ske på det sätt som regeringen ser behov av. Bilagan som gäller organisationer med roller och ansvarsområden inom cybersäkerhet kommer också att behöva uppdateras, bland annat när den nationella regleringen som genomför NIS 2-direktivet i Sverige har trätt i kraft. Denna uppdatering kommer att ske på det sätt och i den form som regeringen ser behov av.

6Översikt över utmaningar och mål

Följande tabell visar förhållandet mellan utmaningarna i cybersäkerhetslandskapet i avsnitt 4 och målen i avsnitt 5.

27

kommunal förvaltnings informationshantering Mål 4: Robustare digitala leveranskedjor och minskat beroende

Mål 6: Utvecklat stöd för små och medelstora företags cybersäkerhetsarbete

Mål 8: Stärkt kompetensförsörjning, utbildning och fortbildning inom cybersäkerhet

4.5Komplex Mål 5: Förenklad regelefterlevnad och stärkt

28

29

7Begreppsförteckning

Allriskperspektiv: Används i denna strategi på motsvarande sätt som allriskansats i skäl 79 i NIS 2-direktivet.

Cyberresiliensförordningen: Förordningen innebär bland annat att vissa kritiska produkter och tjänster omfattas av högre säkerhetskrav (bland annat bedömning av överensstämmelse samt tredjepartsgranskning enligt EU:s New Legal Framework och CSA:s ramverk för cybersäkerhetscertifiering).

Cybersäkerhetsakten: Akten reglerar bland annat cybersäkerhetscertifiering på den inre marknaden som möjliggör att olika it-produkter och it-tjänster (till exempel molntjänster) kan certifieras mot en ensad, kvalitetssäkrad och gemensam uppsättning krav. Sådan certifiering kan bland annat användas vid myndigheters kravställning i samband med upphandling, som krav i tillsyns- och sektorsmyndigheters föreskrifter eller för att visa uppfyllnad av olika cybersäkerhetskrav vid myndighetstillsyn.

Cyber range: Testbädd och övningsanläggning för cybersäkerhet.

Cyberangrepp: En interaktion mellan en angripare och ett mål som i) angriparen inte har rätt att utföra mot målet, ii) medför ett utbyte av information som resulterar i en interaktion, konfigurering, installation/sparande, avinstallation/raderande eller överbelastning i något av målets informationssystem, iii) resulterar i minst en för målet oönskad konsekvens i termer av konfidentialitet, riktighet eller tillgänglighet för målet eller för andra via målet och vi) som angriparen utför i ett antagonistiskt syfte.

Cybersäkerhet: Används i denna strategi i enlighet med NIS 2-direktivet, som nyttjar cybersäkerhetsaktens definition (all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot).

30

IoT: Internet of Things, eller Sakernas internet, rör användandet av uppkopplade föremål i verksamheter.

Konfidentialitet: En aspekt av cybersäkerhet som innebär att endast behöriga kan ta del av informationen. Frågor som rör offentlighetsprincipen och allmänhetens tillgång till handlingar faller dock utanför denna definition.

Monoberoende: Tjänster eller infrastruktur som organisationer är beroende av och där alternativ saknas om den aktuella tjänsten eller infrastrukturen skulle upphöra.

NIS 2-direktivet: Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).

Nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 4.1 i direktiv (EU) 2016/1148.

Ransomware: Utpressningsvirus och program som krypterar hela eller delar av en verksamhetsinformation som lagras på drabbade informationssystem och gör informationen otillgänglig. Syftar till att försöka utpressa en organisation eller individ på en lösensumma. Angrepp kan även genomföras i syfte att nå specifik information, till exempel för underrättelseinhämtning.

Riktighet: En aspekt av cybersäkerhet som innebär att information och informationssystem är korrekta eller fungerar korrekt och inte ändras på ett felaktigt sätt.

Systematisk cybersäkerhet: Förebyggande och kontinuerlig anpassning av skydd utifrån behov och risker. Det innefattar arbetssätt baserat på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet, det vill säga skydd av informationstillgångar som gäller konfidentialitet, riktighet och tillgänglighet.

Tillgänglighet: Tillgänglighet är aspekten att information eller informationssystem ska finnas tillgängligt när de behövs.

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

(dir. 2024:111) redovisats och förslagen omhändertagits.

*Ansvarsfördelningenför ersäkerhetsarbetedtetär under översyn vnilakteiot nkealnlapåverka ansvarig(ac)yubtförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

FRA och MSB med bistånd av FMV,

Försvarsmakten, Polismyndigheten, PTS och

Säkerhetspolisen

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

Syfte: Aktörer inom elektronisk kommunikation utvecklar bättre rutiner och färdigheter i hanteringen av cybersäkerhetsrelaterade risker.

FRA ska utarbeta en nationell operativ plan för storskaliga cybersäkerhetsincidenter och kriser i enlighet med artikel 9 i NIS 2-direktivet.

Syfte: En operativ plan om storskaliga incidenter och kriser är en central del i att utveckla Sveriges samlade förmåga att snabbt och effektivt kunna hantera sådana incidenter och kriser.

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

Syfte: Att förebygga cyberbrott inom transaktionssystemen.

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

*Ansvarsfördelningen för det nationella cybersäkerhetsarbetet är under översyn vilket kan påverka ansvarig(a) utförare för flera aktiviteter i föreliggande handlingsplan. Exempelvis kan pågående arbete med kommande nationell lagstiftning som implementerar NIS 2-direktivet i Sverige, samt uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (Fö2024/00786) påverka ansvarsfördelningen för aktiviteterna i handlingsplanen. När detta har slutförts kommer handlingsplanen att uppdateras.

Skr. 2024/25:121

Bilaga 2

Organisationer med roller och ansvarsområden inom cybersäkerhet

Cybersäkerhet är en horisontell fråga och medför ett sektoröverskridande ansvar inom regeringen och Regeringskansliet.

Denna bilaga kommer uppdateras när NIS 2-direktivet implementerats nationellt och ansvarsförhållanden har definierats samt när uppdrag att lämna förslag på organisationsförändring och ansvarsfördelning för samhällets informations- och cybersäkerhet (dir. 2024:111) redovisats och omhändertagits.

Nationellt cybersäkerhetscenter (NCSC)

Nationellt cybersäkerhetscenter har i uppdrag att utveckla och stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot och andra it-incidenter.

Från och med den 1 november 2024 finns centret inom FRA som har ansvaret för att leda NCSC.

Gemensam kontaktpunkt

Den roll som enligt NIS 2-direktivet benämns gemensam kontaktpunkt (på engelska SPOC, Single Point Of Contact) kommer att utses och närmare definieras i kommande reglering som implementerar NIS 2-direktivet i Sverige. Den gemensamma kontaktpunkten ska enligt NIS 2-direktivet utöva en sambandsfunktion som säkerställer ett gränsöverskridande samarbete mellan medlemsstatens myndigheter och relevanta myndigheter i andra medlemsstater och, när det är lämpligt, kommissionen och Enisa samt ett sektorsövergripande samarbete med andra behöriga myndigheter i medlemsstaten.

För NIS-direktivet har MSB uppgiften att vara nationell gemensam

kontaktpunkt1.

1Uppgiften inkluderar bland annat att tillhandahålla vägledning och utbyta praxis i fråga om NIS-direktivets genomförande, samverkan med regulatoriska policyfrågor, tillsynssamordning, stödja samordning mellan NIS 2- och CER-direktiven, säkerställa samarbete mellan brottsbekämpande myndigheter och dataskyddsmyndigheter, förvalta och utveckla föreskrifter om informations- och cybersäkerhet för aktörer som omfattas av NIS-

medlemsländers nationella samordningscenter, EU:s kompetenscentrum för cybersäkerhet (ECCC) i uppdraget för ökad cybersäkerhet inom EU.

67

Skr. 2024/25:121

Försvarsdepartementet

Utdrag ur protokoll vid regeringssammanträde den 20 mars 2025

Närvarande: statsrådet Busch, ordförande, och statsråden Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, Forssmed, Tenje, Slottner, Malmer Stenergard, Kullgren, Liljestrand, Brandberg, Bohlin, Carlson, Pourmokhtari

Föredragande: statsrådet Bohlin

Regeringen beslutar skrivelse Nationell strategi för cybersäkerhet 2025 2029

68