Interpellationssvar - Sveriges cyberförsvar - 2023-11-09

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Fru talman! Markus Selin har frågat mig när den nationella strategin för samhällets informations- och cybersäkerhet kommer att vara på plats, om en analys har gjorts för att se vilka behov strategin ska lösa och om jag i så fall kan redogöra för resultatet av analysen. Markus Selin har även frågat mig vilka konkreta steg jag och regeringen avser att ta för att förse den nationella strategin för samhällets informations- och cybersäkerhet med en tydlig vision, mätbara mål och ansvarsfördelning.

Jag delar Markus Selins bild av att världsläget är allvarligt. Informations- och cybersäkerhetsarbetet är därför högt upp på regeringens agenda.

Utgångspunkten med den nya strategin är att uppnå ett motståndskraftigt Sverige där förstärkt cybersäkerhet och skydd av vitala funktioner prioriteras samtidigt som ett fördjupat och målinriktat samarbete mellan staten, näringslivet och akademin lägger grunden för en säker digital framtid. Med denna utgångspunkt vill regeringen understryka vikten av att få det grundläggande på plats samt behovet av att prioritera fungerande samarbeten mellan nyckelaktörerna inom cybersäkerhetsområdet.

Regeringens målsättning är att strategin ska beslutas under hösten 2024. I det arbetet är jag mån om att så många berörda aktörer som möjligt involveras. Under hösten arrangeras därför ett antal workshoppar tillsammans med Nationellt cybersäkerhetscenter till vilka bransch- och intresseorganisationer samt ett antal offentliga organisationer inbjuds att delta. Parallellt genomförs även dialoger med ett antal enskilda aktörer. Sårbarheter och risker som behöver tas upp i strategin och dess tillhörande handlingsplan kommer att inventeras och analyseras.

Den nationella strategin utgör också en del av genomförandet av direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, det så kallade NIS 2-direktivet, som ställer krav på att alla EU-länder ska ha en nationell cybersäkerhetsstrategi. I enlighet med direktivet kommer strategin att identifiera åtgärder som säkerställer beredskap inför, svar på och återställande efter incidenter, inkluderat samarbete mellan offentlig och privat sektor.

Låt mig också nämna att regeringen - parallellt med det nationella arbete jag har redogjort för - nu tar fram en strategi för cyberfrågor och digitala frågor i utrikes- och säkerhetspolitiken.

Sammanfattningsvis kan jag konstatera att det angelägna arbetet med den nya nationella informations- och cybersäkerhetsstrategin är igång och löper enligt plan. Jag ser fram emot att få presentera den mer i detalj så snart den är klar.

Fru talman! Tack, statsrådet Bohlin, för ett bra svar! Jag är stolt men inte nöjd.

Fru talman! Om du inte vet vart du ska spelar det heller inte någon roll vilken väg du tar. Orden är hämtade från Alice i Underlandet. Boken skrevs av Lewis Carroll 1865. Detta är kattens svar till Alice när hon undrar vart hon ska.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Fru talman! Med dessa ord från Alice i Underlandet riktar jag mina största farhågor och min kritik till statsrådet när det gäller vår gemensamma cyberpolitik i dag. Vi har ingen strategi.

I våras tog jag del av en debattartikel i Dagens Nyheter som var underskriven av statsrådet Bohlin, statsministern med flera. Det var slående hur man försökte lyfta fram en ny strategi för cyberpolitiken i Sverige. Och precis som statsrådet redogjorde för i sitt svar här börjar man även framhålla behovet av en internationell cyberpolitik. Då börjar jag bli lite orolig. Jag vill inte ha en gemensam cyberpolitik som kan liknas vid en schweizerost. Jag skulle hellre vilja att vår gemensamma cyberpolitik är en schweizisk ostfondue, en gemensam smälta.

Fru talman! Vad vill jag egentligen med detta? Låt mig ta några exempel.

Krishanteringen i vår gemensamma regering, med lite olika kulörer, har ofta behövt justeras. Men kopplat till cyberpolitiken blir jag ganska orolig. Jag läste mellan raderna i svaret att statsrådet Bohlin nämnde det nya sändebudet, med internationellt ansvar för våra cyberfrågor. Samtidigt har vi en ny säkerhetsrådgivare i regeringen. Sedan tidigare är det Statsrådsberedningen som samordnar det allmänna säkerhetsarbetet. Och statsministern leder säkerhetsrådet. Det är inte nog med detta. Statsministerns statssekreterare leder den samlade krishanteringen. Jag är inte färdig än. Härtill har vi en särskild chefstjänsteman som ansvarar för krishanteringen och därtill ett kansli för just säkerhets- och krisfrågor.

Jag nämnde en debattartikel i Dagens Nyheter i våras. Det är ganska tydligt att det är sex statsråd som signerar en och samma debattartikel, som ytterst handlar om vår gemensamma säkerhet.

Tyvärr har vi nu ett allvarligt säkerhetsläge. Det är cyberangrepp. Det handlar om vårt gemensamma cyberförsvar. Låt oss säga att det är konventionell krigföring. När det gäller Rysslands oförsvarliga och orättfärdiga krig i Ukraina har vi sett hur det började brutalt med cyberangrepp - 2014 och 2005. Elförsörjning, infrastruktur med mera var under ständiga angrepp.

Fru talman! Jag ska inte recensera Markus Selins inlägg; jag bara konstaterar att det var ganska breda penseldrag. Han uppehöll sig egentligen inte vid någon av de tre ändå ganska tydliga frågor som han ställde i interpellationen.

Han börjar med att säga att vi inte har någon strategi. På den punkten får man ge honom ett halvt rätt och ett halvt fel. Det är nämligen på det sättet att vi har en cybersäkerhetsstrategi som är antagen av den tidigare socialdemokratiska regeringen. Jag får ge honom rätt i att det inte är mycket till strategi. Den har fått mycket amper kritik, och inte bara det - hela sättet att hantera cybersäkerhetsfrågorna i den tidigare regeringen har fått mycket amper kritik från Riksrevisionen. Ni har nu fått regeringens svar på den här skrivelsen, där regeringen i allt väsentligt instämmer i den kritik som riktas mot Regeringskansliet och berörda myndigheter under tidsperioden 2017 till oktober 2022.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Det är naturligtvis så att regeringen har höga ambitionsnivåer när det gäller att komma till rätta med många av de här problemen, för precis som ledamoten Selin säger befinner vi oss i ett mycket allvarligt säkerhetspolitiskt läge. Vi ser hur antagonism riktas mot Sverige i cyberdomänen på ett sätt som skadar svensk säkerhet och svenska intressen.

En del av kritiken i Riksrevisionens rapport är just att samordningen i Regeringskansliet har varit för bristfällig och att det cybersäkerhetscenter som den tidigare socialdemokratiska regeringen lät starta helt enkelt inte har kommit ur startblocken trots att verksamheten har pågått i ett antal år.

Den debattartikel som Markus Selin refererar till ska ses som en ambition för det här centret och för det samlade arbetet med cybersäkerhet och cyberförsvar. Anledningen till att det var många statsråd som undertecknade denna artikel är tämligen enkel, nämligen att cybersäkerhetsarbetet inte får präglas av onödiga stuprör. Det är ju en av de mest tvärsektoriella uppgifter vi har i samhället. Cyberdomänen påverkar hela samhället, och därför är detta naturligtvis en fråga som har många och viktiga sakägare i och utanför Regeringskansliet.

Den kritik som görs gällande är att samordningen inte har fungerat. Detta tar vi bland annat tag i med inrättandet av ett nationellt säkerhetsråd och med den omorganisation som just nu pågår i Försvarsdepartementet för att få en bättre samordning till exempel mellan cyberförsvar och cybersäkerhetsfrågor.

Jag ser naturligtvis storligen fram emot att få återkomma till Markus Selins tre frågor, men det är nu inte läge att föregripa svaren på dessa frågor av den anledningen att vi behöver ha en cybersäkerhetsstrategi som är förankrad. Av precis detta skäl, som jag nämnde i mitt inledande svar, har regeringen tagit initiativ till att prata med den bransch som måste vara involverad i framtagandet av denna strategi för att den inte ska bli en hyllvärmare, som den tidigare strategin i allt väsentligt har blivit.

Fru talman! Till del gillar jag vad jag hör från statsrådet Bohlin. Men jag håller inte med. Jag tycker till och med att statsrådet är helt ute och cyklar, fru talman.

Jag började med Alice i Underlandet, och alla vi som har läst Alice i Underlandet vet att det är strategin jag menar. Om jag vore statsråd med ansvar för cyberfrågor skulle jag till exempel ha börjat med strategin innan jag utsåg Carl Bildt som en särskild utredare av vår gemensamma säkerhetspolitik, något som vi kunde ta del av i förra veckan. Och före Carl Bildt har vi fått ta del av en ny säkerhetsrådgivare och ett internationellt sändebud för cyberfrågor.

Det här är spretigt, fru talman! Det är det jag är ute efter.

I den debattartikel i Dagens Nyheter som vi båda har nämnt är det slående med den höga svansföringen kring att vi behöver en ny strategi. Vi har ingen strategi! Ordet "effektivt" används i sammanhang som "effektivt arbete", "effektivare samordning" och "effektivt stöd".

Det jag menar, fru talman, är att man skulle ha börjat med strategin innan man börjar peta lite i schweizerosten!

Det som statsrådet Bohlin ska ha kredd för, som ungdomarna säger, är att de har fastslagit ett datum. Nästa höst ska strategin vara på plats. Det är bra! Men den skulle ha varit på plats redan förra hösten. Man börjar med strategin, annars blir det som Alice i Underlandet.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Tillbaka till debattartikeln i Dagens Nyheter i våras, bara för att understryka allt det här: "Cybersäkerhetsområdet har inte varit tillräckligt strategiskt eller sammanhållet." Det kan inte bli mer klart och tydligt än så.

Nu har det gått sju månader sedan vi läste detta i Sveriges största morgontidning. Nu har det gått snart tretton månader sedan regeringen tillträdde, och nu ska vi vänta ungefär tolv tretton månader till på vår gemensamma cyberpolitik.

Det är därför jag är orolig. Det är därför, fru talman, som jag står här med er i dag. Cyberangrepp kan likställas med konventionell krigföring. Det är allvar nu.

Tillbaka till rollfördelningen, vilken också oroar mig en del. Den har faktiskt blivit otydligare med dagens regering. Låt oss ta debattartikeln i Dagens Nyheter som exempel: Systematiken i digitaliseringsvärlden i allmänhet, vem är det som har ansvar för den? Det är civilministern. Det fanns två undertecknare till, försvarsminister Pål Jonson och ministern för civilt försvar Carl-Oskar Bohlin, som står här med mig i dag. Jag är inte heller säker på när Bohlin ansvarar för cyberfrågorna och när Jonson gör det. När det gäller förebyggande cyberarbete och om det handlar om terroristorganisationer, vem är det då? Jo, då är det justitieminister Gunnar Strömmer. Jag har också mött många företag som pratar om kompetensbrist. Vem är det då som ansvarar för cyberpolitiken? Jo, då är det utbildningsminister Mats Persson, liberalen! Och vi är inte färdiga än, för vem är det som ansvarar för det internationella sändebudet för cyberpolitiken, som både jag och statsrådet Bohlin har lyft fram? Det är Utrikesdepartementet!

Nu har regeringen haft tretton månader på sig. För sju månader sedan hade man hög svansföring, och sedan säger man att om tolv månader kommer strategin.

Fru talman! Den påstådda spretigheten i den här diskussionen är nog till inte obetydlig del hänförlig till bristande koherens i framställningen från ledamoten Selin.

Det förhåller sig på det sättet att om vi, som Markus Selin påstår, skulle ha haft den här strategin på plats redan förra hösten, ja, då hade det arbetet behövt bedrivas av den regering som tjänstgjorde fram till den 18 oktober 2022, ungefär kl. 13.00. Därefter fick vi en ny regering, och så snart den regeringen tog plats påbörjades detta arbete.

Att Carl Bildt har fått ett särskilt uppdrag att genomlysa det svenska underrättelsesystemet har en mycket begränsad impact på att ta ett samlat grepp kring cybersäkerhetsfrågorna. Men för protokollet är det på det sättet att utredaren av till exempel det nationella cybersäkerhetscentret tillsattes tidigare.

Vi vill ha en cybersäkerhetsstrategi värd namnet. En av de viktiga frågorna här är att få till en tydlig målvision. För att uppnå detta behöver man ett gott underlag när det gäller hur problembilden ser ut. Det är detta arbete vi just nu befinner oss i.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag håller helt med om att cybersäkerhetsstrategin borde ha funnits på plats långt tidigare. Men man kan inte för den skull hasta fram en strategi så att den inte blir användbar i verkligheten. I den bästa av världar skulle vi också vilja ha en strategi med en tydlig åtgärds- och handlingsplan. Det är också därför som regeringen har som ambition att strukturera strategin på ett annat sätt, det vill säga genom ett regeringsbeslut med en tillhörande bilaga. Den tidigare strategin lades ju fram för riksdagen som en skrivelse, med nackdelen att det blev ett väldigt statiskt dokument. Detta behöver vara mer av ett levande dokument där den handlingsplan som biläggs cyberstrategin också kan förändras i takt med att omvärlden förändras.

Jag skulle vilja säga, för att bredda perspektivet lite, att en av de verkligt stora utmaningarna för till exempel Nationellt cybersäkerhetscenter är att tillgodogöra sig den kompetens och drivkraft som finns i näringslivet. Det handlar alltså inte bara om att kommunicera lägesbild och att vara med och avhjälpa sårbarheter, utan det handlar också om en offentlig-privat samverkan där det offentliga genom sin representation i centret också kan få hjälp av det privata näringslivet med att ta detta helhetsgrepp kring cybersäkerhetsfrågorna. Det är en av de saker som den särskilda utredare som nu tittar på denna centrumbildning har att genomlysa.

Ett av problemen med Nationellt cybersäkerhetscenter är att det har saknats tydlig ledning och styrning. Detta vill vi nu försöka komma till rätta med genom att - vilket vi beskriver i den debattartikel som Markus Selin refererar till - ge centret en ledning genom ett särskilt huvudmannaskap. Hur detta exakt ska se ut är en av de saker som den särskilda utredaren nu tittar på.

Fru talman! Det är tid att hasta nu, statsrådet Bohlin! Det sker cyberangrepp dygnet runt i Sverige. Detta börjar likna Alice i Underlandet. Om du inte vet vart du ska spelar det inte heller någon roll vilken väg du tar, oavsett hur många sändebud statsrådet Bohlin vill tillsätta eller om Carl Bildt gör comeback i politiken. Fram med planen - det är bråttom nu!

Många av oss brukar gå in på regeringens hemsida. I fredags kunde jag, till min förvåning, se att hemsidan hade uppdaterats, och där hade man lagt ut Socialdemokraternas gamla strategi. I våras sa man att vi behövde en ny strategi. Vi har ingen strategi, sa man. Man sa att vi ska ha en internationell strategi, och vi ska ha sändebud!

Detta spretar. Det är en schweizerost som vi inte vill se.

Jag utgår då från att statsrådet Bohlin tycker om Socialdemokraternas strategi. Det är ju den som gäller. Och den är bra. Vi socialdemokrater gjorde på ett fåtal år väldigt mycket för Sveriges gemensamma säkerhet och cyberpolitik. Tre myndigheter som direkt har med detta att göra sattes upp på några år, nämligen Myndigheten för digital förvaltning, Myndigheten för psykologiskt försvar och Myndigheten för totalförsvarsanalys. Förutom en civil privat digitaliseringsstrategi kom det även en cyberpolicy.

Vi har 342 myndigheter i Sverige i dag och 1,2 miljoner företag. Det finns inte mer tid för statsrådet Bohlin att ha grupparbeten.

Fru talman! Den cybersäkerhetsstrategi som nu gäller, som togs fram av den tidigare regeringen, har blivit utdömd av bland annat Riksrevisionen. Hela cybersäkerhetsarbetet från 2017 till hösten 2022 får mycket amper kritik. Det är bland annat därför, men också på grund av de krav som ställs i NIS 2-direktivet, som Sverige nu utarbetar en ny strategi.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Tidsplanen för den nya strategin påverkas också av implementeringen av direktivet. Implementeringen hade kunnat vara på plats om det arbetet hade påbörjats tidigare. Det var en av alla de ovända stenar som den här regeringen fick börja hantera i Regeringskansliet strax efter tillträdet.

Jag är den förste att instämma i Markus Selins synpunkt att allt borde ha skett i går och att allt borde ha gjorts tidigare. Men den här regeringen har bara suttit i ett år, och vi arbetar med den kraft vi har för att så snabbt som möjligt få på plats en ny och mer ändamålsenlig cybersäkerhetsstrategi.

Jag noterar att Markus Selin ställer sig frågande till att det är så många statsråd involverade i den här frågan. Det kokar ju ned till den grundläggande ansvarsprincipen, som Markus Selin kanske bör förkovra sig något ytterligare i. Den som i normalfallet har ansvar för en fråga har det även under kris och ytterst vid höjd beredskap och ett väpnat angrepp. På samma sätt har varje myndighet ansvar för sitt eget cybersäkerhetsarbete.

Den nationella samordningen för att ge stöd till detta måste naturligtvis bli bättre. Det är därför vi ser över centret. Men varje statsråd, varje myndighet, varje kommun och varje region har ett grundläggande ansvar för sitt eget cybersäkerhetsarbete, som måste förbättras.

Interpellationsdebatten var härmed avslutad.