av Pål Jonson (M)
till Statsrådet Mikael Damberg (S)
I Sverige är det Myndigheten för samhällsskydd och beredskap (MSB) som via funktionen Cert-SE har ansvar för it-incidentrapporteringen. Det kan gälla till exempel cyberangrepp eller att sårbarheter i it-system som har upptäckts.
På funktionens hemsida beskrivs uppdraget enligt följande. Cert-SE ska agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade, samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.
Sedan den 1 april 2016 ska alla statliga myndigheter rapportera it-incidenter som inträffar i myndighetens informationssystem eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Även företag uppmanas att rapportera in it-incidenter till Cert-SE.
Problemet är att många aktörer, främst privata, undviker att rapportera in att de har drabbats av till exempel en cyberattack. Anledningen till detta är att de inte vill riskera att skada sitt förtroende genom att visa att deras verksamhet är sårbar för cyberangrepp.
Trots att myndigheter som Försvarets radioanstalt (FRA) och Säkerhetspolisen (Säpo) rapporterar ett ökat antal it-incidenter i spåren av coronapandemin minskar antalet inrapporterade fall till Cert-SE.
Detta är oroväckande och visar att det system som finns för inrapportering av it-incidenter inte fungerar fullt ut i dag. För att de myndigheter som ska stärka Sveriges cybersäkerhet ska kunna göra sitt arbete krävs att de kan kartlägga och agera mot samtliga cyberhot som svenska myndigheter och företag utsätts för.
Med anledning av ovanstående vill jag fråga statsrådet Mikael Damberg följande:
Delar statsrådet bilden av att inrapporteringen av it-incidenter inte fungerar tillfredsställande, och vad avser statsrådet i så fall att göra åt problemet?