Kompletterande bestämmelser till EU:s cybersäkerhetsakt

Fru talman! Arbetet med att stärka Sveriges cybersäkerhet måste öka och intensifieras. Vår beredskap är inte alls tillräckligt god på det här området.

I Global Cybersecurity Index, som kanske är världens största internationella mätning, placerade sig Sverige förra året på plats nummer 32, och i år kommer vi på plats 43 när man utvärderar svensk cybersäkerhet i en internationell jämförelse. Det är inte gott nog för ett av världens mest digitaliserade länder.

I dag lägger vi förhoppningsvis en pusselbit på plats genom införandet av de kompletterande bestämmelserna till EU:s cybersäkerhetsakt. Målet med EU:s cybersäkerhetsakt, fru talman, är ju att höja cybersäkerheten inom hela EU. Det är viktigt. Ingen kedja är som bekant starkare än sin svagaste länk.

Vi eftersträvar alla att skapa en gemensam inre digital marknad, och då måste lägstanivån bland alla medlemmar inom EU höjas.

I sak föreslår försvarsutskottet i sitt betänkande att CSEC vid FMV utses till nationell myndighet för cybersäkerhetscertifiering och att CSEC även får tillsynsansvaret för denna certifiering.

Moderaterna välkomnar att CSEC och FMV utses till certifieringsmyndighet. Dock anser vi att det hade varit mer resurseffektivt om själva tillsynsuppdraget hade lagts på MSB, och det finns två skäl för detta. För det första pekar FMV självt på att det är motsägelsefullt att CSEC både ska ha certifieringsansvar och utöva tillsyn över sin modermyndighet. För det andra har MSB redan en uppbyggd fältorganisation för tillsyn av cybersäkerhet, vilket FMV saknar.

Kompletterande bestämmelser till EU:s cybersäkerhetsakt

Fru talman! Det råder en skriande kompetensbrist på informations- och cybersäkerhetområdet i Sverige. Vissa branschorganisationer säger att det saknas upp till 70 000 personer. Då måste myndigheter och offentlig förvaltning jobba resurseffektivt och smart, men i Sverige har vi tyvärr en tendens att sprida ut våra resurser inom cybersäkerhet på många olika myndigheter och departement. Vi brukar säga att det finns minst fyra ministrar och åtta myndigheter som jobbar med cybersäkerhet, och det riskerar att skapa kraftsplittring och utarmning av kompetens inom en så trång sektor som cybersäkerhet.

Fru talman! Dagens beslut är också ett symtom på en annan trend inom cybersäkerheten i Sverige, nämligen att det är EU-samarbetet som driver mycket av vårt cybersäkerhetsarbete. Det var EU som genom NIS-direktivet tvingade Sverige att som sista land inom unionen upprätta en informations- och cybersäkerhetsstrategi. Det var EU som krävde att Sverige skulle införa obligatorisk incidentrapportering, trots att en svensk utredning föreslog detta redan 2001. Det var även EU som såg till att Sverige utvecklade ett sektorsystem för högre informationssäkerhet i samhällsviktiga tjänster.

Fru talman! Vi har i dag ett växande gap mellan digitalisering och cybersäkerhet. För varje ny enhet som digitaliseras skapas nya ytor som kan angripas av förövare, men säkerhetsarbetet går inte i samma takt som digitaliseringen.

Vi ser hur hoten, riskerna och sårbarheterna på cyberområdet ökar. Framför allt ökar de avancerade statssanktionerade angreppen mot Sverige i styrka och omfattning.

Problemet har också förstärkts under pandemin eftersom många jobbar på distans med osäker kryptering.

Vi har alltså en kombination av hög digitalisering och låg säkerhet. Vi är beroende av digitala lösningar, men de är ganska sårbara. Ekvationen går inte ihop.

Det krävs en mycket djupare insikt inte minst inom regeringen om att digitalisering och cybersäkerhet måste gå hand i hand. I dag har regeringen en minister för digitalisering och en annan för cybersäkerhet, och det är inte hållbart.

Fru talman! Moderaterna var först ut i den svenska debatten och föreslog att det skulle etableras ett nationellt cybersäkerhetscenter. Vi välkomnar därför att regeringen nu gett planeringsanvisningar för ett sådant. Men vi konstaterar också att arbetet har gått långsamt. Alla andra nordiska länder har redan operativa cybersäkerhetscenter på plats, men det svenska centret kommer inte att bli klart förrän 2023.

Moderaterna hade gärna sett att Försvarets radioanstalt hade blivit huvudansvarig, eller fodervärd, för centret. Skälet är att cybersäkerhet måste kombineras med underrättelser från signalspaning om man vill veta vem som angriper Sverige på cyberområdet och hur de går till väga.

Avslutningsvis: Om vi ska få till stånd en bra cybersäkerhet i Sverige måste ett mycket starkare samarbete mellan myndigheter och företag på cybersäkerhetsområdet upprättas. I princip alla samhällsviktiga tjänster, bank, telekom, transport och finans, är i händerna på privata företag. Vi måste se till att vi förmår att skydda dessa företag om de blir utsatta för angrepp. Det handlar både om nationell säkerhet och om Sveriges långsiktiga konkurrenskraft.

Fru talman! Jag yrkar bifall till Moderaternas och Kristdemokraternas gemensamma reservation, nummer 1.

Fru talman! Vi debatterar nu försvarsutskottets betänkande FöU6 Kompletterande bestämmelser till EU:s cybersäkerhetsakt och motioner rörande informations- och cybersäkerhet.

I regeringens proposition finns bland annat förslag om inrättande av en nationell myndighet för cybersäkerhetscertifiering och om tillsyn, sanktioner och förfarande vid själva cybersäkerhetscertifieringen.

Vi sverigedemokrater är positiva till förslaget i stort och ser det som ett bra exempel på när samarbetet inom Europeiska unionen kan gynna Sverige och vårt lands säkerhetsintressen.

Frågor som rör informations- och cybersäkerhet får en allt större betydelse för vårt samhälle och för vårt totalförsvar då ett enda fullbordat cyberangrepp kan få stora konsekvenser och ta stora resurser i anspråk - något som de senaste veckornas cyberangrepp mot olika civila företag i USA tydligt visat.

De cyberhot som riktas mot Sverige är mångfasetterade och kan kopplas till flera olika typer av hotaktörer. I stort utgörs dessa av enskilda stater, kriminella grupperingar och ideologiskt motiverade grupper, exempelvis terrornätverk.

Syftet med angreppen skiljer sig givetvis åt. De statliga aktörerna genomför angrepp för att inhämta information som gynnar det egna landets intressen medan terrornätverken drivs av mer ideologiskt formulerade agendor.

För att förhindra intrång och för att säkerställa att känslig information inte kommer i orätta händer är det av yttersta vikt att samtliga aktörer, såsom myndigheter, kommuner, regioner och företag, gör sitt yttersta för att försvåra en angripares intention att komma över skyddsvärd information.

Fru talman! Alla företag bör konkurrera på lika villkor och ges samma möjlighet att investera i exempelvis it-infrastruktur. Dock anser vi att möjligheten till fri konkurrens behöver kunna begränsas gällande nationella säkerhetsintressen. Exempelvis bör inte infrastruktur som har ett nationellt säkerhetsintresse kunna bli föremål för strategiska uppköp. Om ett statligt bolag som innehar sådan infrastruktur avyttras ska dessa delar av företaget fortsatt behållas i statlig kontroll - något vi även tidigare yrkat på i denna kammare.

Avslutningsvis finns det ytterligare en pusselbit som är viktig om man ska lyckas med att förhindra cyberattacker, och det är ett väl fungerande cyberförsvar. Utvecklingen inom detta område har gått fort de senaste åren, och vi kan vara stolta över att Sverige numera står sig starkt internationellt sett.

Sverige har förmågan att bedriva såväl offensiva som defensiva cyberoperationer. Det betyder givetvis inte att vi kan luta oss tillbaka, utan Sverige måste fortsätta sitt kontinuerliga jobb och ständigt utvecklas för att stärka sin förmåga att stå emot angrepp oavsett avsändare.

Därför ser vi sverigedemokrater mycket positivt på Försvarsmaktens satsningar och den utveckling som pågår för att stärka förmågan, bland annat genom att etablera ytterligare ett it-försvarsförband 2022.

Vi har under lång tid påpekat vikten av att skapa och vidareutveckla cybersäkerhet och ett robust försvar mot angrepp i samhällets alla delar.

Vi anser det även vara av yttersta vikt att verksamheten inom informations- och cybersäkerhet bedrivs på ett sådant sätt att den yttrandefrihet som råder i Sverige beaktas.

Med detta sagt yrkar jag bifall till reservation nummer 5.

STYLEREF Kantrubrik \* MERGEFORMAT Kompletterande bestämmelser till EU:s cybersäkerhetsakt

(forts.)

Fru talman! Centerpartiet ser hotet mot Sverige och var därför drivande i att få till ett totalförsvarsbeslut. Vi ser att hotet är ett multihot. Det vi står inför är hybridkrigföring. Som vi alla vet pågår cyberkriget här och nu, 24:7, 365 dagar om året.

Cybersäkerhet är ett ämne som vi kommer att diskutera mycket framöver. Det liggande förslaget tycker vi i huvudsak är bra. Vi har några tilläggsyrkanden, men vi tillstyrker huvudpunkten.

Fru talman! Det som vi i Centerpartiet anser behöver kompletteras när det gäller cybersäkerhet och där det inte är fulländat i dag gäller behovet av att skapa en it-haverikommission, precis som Nederländerna har gjort. Vi konstaterar att ledande it-experter i Sverige är eniga med Centerpartiet om detta. Varför behövs det? Jo, därför att funktionen att analysera incidenter, skapa rekommendationer och sprida råd, riktlinjer och information om nödvändiga förbättringar för både offentliga och privata aktörer inte finns fullt ut i dag.

Dagens system fungerar så att man har en skyldighet att rapportera in vad som har hänt men att staten inte har någon skyldighet att sprida slutsatserna av detta. Vi kan ta exemplet Klarna, som utsatts för en omfattande it-attack de senaste veckorna. De valde att själva gå ut med vad som hänt i detalj, som kunskapsspridning. Det hade de ingen skyldighet att göra. Staten samlar alltså in kunskap men sprider inte resultaten och slutsatserna, vilket gör att kunskapsspridningen blir alldeles för dålig. Vi kallar det för en haverikommission. Det system som vi har just nu kan jämföras med en flyghaverikommission som inte offentliggör slutrapporten.

Jag kan ta ett lokalt exempel från min verklighet hemma, där Region Gotland och nyhetshuset Helagotland utsattes för en omfattande it-attack som varade i en hel månad. Regionen blev tvungen att köpa in väldigt mycket konsulttjänster för att reda ut detta. Det kostade 1,6 miljoner, med stora praktiska konsekvenser för till exempel sjukvård och distansarbete i hela regionen. För ungefär en vecka sedan upptäcktes att det var en minderårig person under 15 år, i praktiken ett skolbarn, som hade gjort attacken. Det innebär att det förmodligen inte finns någon möjlighet att utkräva något straffansvar eller kostnadsersättning.

Att överbelastningsattacker drabbar Gotland är inget nytt. Till exempel i våras utsattes Bank-id för samma typ av attack. Grundproblemet är att det är otroligt billigt att göra det. Att köpa systemet kostar bara några hundralappar på nätet, och vem som helst kan göra det och genomföra överbelastningsattacker. Därför behöver vi hitta en systematik för att följa upp händelser på ett bättre sätt än vad vi gör i dag, utan att skuldbelägga någon.

Grunduppgiften för en it-haverikommission tycker vi ska vara att besvara tre enkla frågor: Vad hände? Varför hände det? Hur undviker vi att det händer igen?

Jag vill också lyfta upp frågan om desinformation. Det är ett enormt stort samhällsproblem som vi har redan i dag. Vi vet att psykologiskt försvar är på väg att sättas igång i början av nästa år, och där ligger det med instruktioner att jobba med desinformationsfrågorna.

Jag vill speciellt lyfta upp begreppet deep fakes, som jag själv har gått in och googlat i dag under tio minuter. Man blir väldigt rädd för vad som är möjligt. Det bygger på att det med AI-teknik går att få vilken människa som helst att säga precis vad som helst, och det ser extremt trovärdigt ut. Gå in och googla så får ni se. Detta kommer att bli ett riktigt avancerat hot mot demokratin. I min värld är det närmast ett skräckscenario för sanningen, och med kopplingen till internet och sociala medier förstår jag inte riktigt hur vi ska klara att få något att bli sant framöver. Jag tror att vi behöver jobba mycket hårdare med det här.

Ännu en sak som jag vill lyfta upp är att bredbandsutbyggnaden är en del av cybersäkerheten, och här behöver Försvarsmakten se till samhällets utveckling, bli en del av den och söka samexistenslösningar. Detta gäller inte minst när vi ska bygga nya mobilmaster. Där har man i dag hållningen att bara säga nej, men vi tycker att man ska vara behjälplig i att hitta alternativa placeringar.

Till sist skulle jag vilja säga att vi i Centerpartiet stöder Moderaternas och Kristdemokraternas motion om tillsynsansvaret när det gäller regelverket för cybersäkerhetscertifikat. Jag tycker att de argument som framförs är korrekta.

Med detta, fru talman, yrkar Centerpartiet bifall till reservation nummer 4.

Fru talman! Låt mig börja med att yrka bifall till utskottets förslag och avslag på samtliga reservationer.

Fru talman! De senaste årens utveckling med allt fler hot och intrång i myndigheters och företags digitala system pekar på ett behov av att ständigt förbättra och utveckla vår förmåga att stå emot ovälkomna eller rent av fientliga angrepp på cyberinfrastrukturen och skyddsvärd information.

Det är en evig katt-och-råtta-lek, där kapplöpningen mellan den som attackerar och den som försvarar pågår dygnet runt, året om. Vi måste som samhälle se till att tillräckliga resurser satsas på att skydda strukturer och information som kan missbrukas i orätta händer. Det här arbetet kommer aldrig att bli färdigt och kan stundom kännas som ett sisyfosarbete utan slut.

Fru talman! Ärendet har, som vi hört tidigare här i dag, sin bakgrund i EU:s cybersäkerhetsakt och ett delbetänkande från Cybersäkerhetsutredningen som följde därpå. Syftet med säkerhetsakten är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen.

När det gäller de kompletterande bestämmelserna till EU:s cybersäkerhetsakt välkomnar utskottsmajoriteten regeringens förslag och tillstyrker förslaget av samma skäl som anges i propositionen.

Fru talman! Jag går vidare till tillsynsansvaret över regelverket för cybersäkerhetscertifiering. Majoriteten i utskottet har gjort samma bedömning som såväl utredningen som regeringen, nämligen att Försvarets materielverk är den myndighet som är bäst lämpad att utföra de uppgifter som åligger den nationella myndigheten för cybersäkerhetscertifiering. En viktig utgångspunkt vid inrättandet av denna myndighet är att, som både utredningen och flera remissinstanser har framhållit, beakta de krav på oberoende som EU:s cybersäkerhetsakt ställer.

Fru talman! Utskottets majoritet ställer sig bakom bedömningen av FMV:s erfarenhet och kompetens. Vi har ingen annan uppfattning än att FMV:s erfarenhet, bland annat från certifieringsverksamhet, och deras tekniska kompetens och kunskap utgör en fördel vid uppbyggnaden av ett system för en effektiv tillsyn över regelverket för cybersäkerhetscertifiering.

Fru talman! Vi behöver stärka försvaret för att skydda vår demokrati. Regeringen har lagt fram ett förslag om en lag med kompletterande bestämmelser till EU:s cybersäkerhetsakt och ett förslag till ändring i denna lag.

Det har även ingått att undersöka vilka kompletterande nationella bestämmelser, bland annat processuella bestämmelser och bestämmelser om sanktioner, som förordningen kräver och som det kan finnas anledning att införa. De behövs för att komplettera EU:s cybersäkerhetsakt, bland annat när det gäller en nationell myndighet för cybersäkerhetscertifiering, tillsyn, sanktioner och förfarandet vid detta arbete.

Syftet med EU:s cybersäkerhetsakt är att säkerställa en väl fungerande inre marknad och samtidigt sträva efter att uppnå en hög nivå i fråga om cybersäkerhet, cyberresiliens och förtroende inom unionen.

Den snabba digitaliseringen och hastigheten i informationssamhället gör frågor om sårbarhet och motståndskraft i våra samhällssystem alltmer aktuella. Desinformation är vanligt förekommande, och antalet påverkanskampanjer ökar.

Även om syftet med de allra flesta angrepp är brottslighet i ekonomiskt syfte kan resultaten bli allvarliga störningar hos stora och viktiga verksamheter i samhället, och svagheterna kan utnyttjas för angrepp på en stat. Cybersäkerheten behöver höjas i alla verksamheter i samhället, både i offentlig sektor och i privat sektor, och Sverige behöver stärka sin förmåga att förebygga och bemöta cyberattacker.

Att den digitala infrastrukturen är global och öppen är avgörande för att företag och organisationer ska kunna bedriva sin verksamhet och dela kunskap mellan människor i olika länder. En öppen värld gynnar Sverige på många sätt och är en förutsättning för att miljöhot och säkerhetshot ska kunna hanteras. För att Sverige och andra länder ska kunna ha tillgång till ett globalt och öppet internet behövs samarbete över gränserna.

Samverkan inom ramen för det svenska cybersäkerhetscentret inleddes under 2020 för att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot.

Regeringen har föreslagit att sammanlagt 50 miljoner kronor tillförs 2021 för det samlade arbetet. FRA, Försvarsmakten, MSB och Säpo arbetar vidare för att inrätta det nationella cybersäkerhetscentret.

Samverkan ska utvecklas stegvis, och den utökade samordning som etableringen av centret innebär kommer att utgöra en viktig komponent i utvecklingen av informations- och cybersäkerheten i Sverige.

För att stärka cybersäkerheten på EU-nivå ska ett euroepiskt kompetenscentrum för cybersäkerhet inrättas liksom ett nätverk av nationella samordningscentrum för dessa frågor. Centrumet ska stärka kapaciteten, kunskapen och infrastrukturen bland annat genom att utveckla tjänster för näringslivet och för forskningen.

Andra uppgifter blir att föra samman centrala berörda parter inom EU, inbegripet industrin, akademiska institutioner, forskningscentrum och andra relevanta organisationer i det civila samhället, och skapa en kompetensgemenskap för cybersäkerhet i syfte att stärka och sprida denna kompetens runt om i EU.

För att vi ska kunna arbeta säkert tillsammans behöver vi också säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för informations- och kommunikationsteknik. Detta behöver göras i hela unionen, och vi behöver undvika en fragmentering av den inre marknaden när det gäller certifieringar. Därför arbetar vi nu tillsammans fram europeiska ordningar för cybersäkerhetscertifiering som medför att certifikat som utfärdas enligt dessa certifieringsordningar blir giltiga och erkända i alla medlemsstater.

En nationell myndighet för cybersäkerhetscertifiering ska få besluta om de förelägganden som behövs i förhållande till EU:s cybersäkerhetsakt och se till att den nya lagen följs.

Regeringen bedömer, i likhet med den genomförda utredningen, att Försvarets materielverk är den myndighet som är bäst lämpad att utföra dessa uppgifter.

Erfarenheten från certifieringsverksamhet och den tekniska kunskapen som Försvarets materielverk har är en fördel vid uppbyggnaden av ett system för tillsyn över regelverket för cybersäkerhetscertifiering. Försvarets materielverk bedöms också kunna hantera känslig information som kommer att behöva tillgängliggöras både vid denna certifiering och inom ramen för tillsynsverksamheten.

Från Miljöpartiets sida hoppas vi och tror att kommissionens förslag till insatser på europeisk nivå inom cybersäkerhetsområdet kan skapa ett europeiskt mervärde genom samordning av expertisen och kompetensen i Europa.

Kompletterande bestämmelser till EU:s cybersäkerhetsakt

Samarbeten kring cybersäkerhet inom EU kommer att vara oerhört viktiga för allas vår säkerhet och funktioner i samhället. De kommer att vara viktiga för demokratin.

Jag yrkar bifall till utskottets förslag.

Överläggningen var härmed avslutad.

(Beslut skulle fattas den 9 juni.)

Skärpt kontroll över explosiva varor