Förslag till riksdagsbeslut

Riksdagen ställer sig bakom det som anförs i motionen om att Myndigheten för samhällsskydd och beredskap ska ha tillsynsansvaret för EU:s cybersäkerhetsakt och tillkännager detta för regeringen.

Motivering

Moderaterna och Kristdemokraterna välkomnar att EU:s cybersäkerhetsakt nu införs i Sverige. Syftet med EU:s cybersäkerhetsakt är att säkerhetsställa en väl fungerade inre marknad och samtidigt eftersträva en hög nivå på cybersäkerheten och ökad resiliens. Målet är att en produkt, tjänst eller process uppfyller angivna säkerhetskrav på informa­tionssäkerhet.

Viktiga sektorer som transport, energi, hälso- och sjukvård och finans har blivit allt­mer beroende av digital teknik för att kunna bedriva sin kärnverksamhet. Samtidigt som digitaliseringen medför enorma möjligheter och erbjuder lösningar på många av de ut­maningar som Europa och Sverige står inför, innebär den också en ökad sårbarhet inför olika cyberhot.

I hela Europa ökar cyberbrottsligheten och antalet cyberattacker. Det har också blivit alltmer uppenbart under pandemin att vi är mer sårbara när vi arbetar på distans med svagare krypteringslösningar. Genom sakernas internet kommer allt fler aktörer och enheter att bli uppkopplade, vilket ökar antalet angreppsytor för olika förövare.

Sverige har betydande problem inom detta område. Ett uttryck för detta är att Sverige återigen föll på Global Security Index, från plats 32 till plats 43 i världen. EU‑samarbetet har drivit på och utvecklat vår cybersäkerhet. Sverige fick som sista land inom EU en nationell informations- och cybersäkerhetsstrategi på plats. Införandet av NIS-direktivet har också drivit fram ett sektorssystem i Sverige med ansvariga myndigheter inom informationssäkerhetsområdet.

Det är naturligt att Försvarets materielverk (FMV/CSEC) ska ha rollen som den ansvariga myndigheten för cybersäkerhetscertifiering. FMV har redan kompetens på högsta assuransnivån. Det finns också en koppling till den höga kompetens som finns inom säkerhetsskyddsområdet på FMV.

I ett avseende skiljer vi oss dock från regeringens bedömning. Vi anser att tillsyns­uppdraget inte bör ligga på FMV utan att det ska förläggas på Myndigheten för sam­hällsskydd och beredskap (MSB).

Det finns två skäl för detta. För det första påpekar FMV själva i sitt remissvar att det är motsägelsefullt att myndigheten ska ha både certifierings- och tillsynsuppdraget. Det skulle i praktiken nämligen innebära att de ska utöva tillsyn av sig själva.

För det andra har FMV i dag inte en uppbyggd organisation för att utöva tillsyn, till skillnad från MSB som redan utför sådana uppdrag mot olika aktörer. MSB har således en vana att arbeta med tillsyn mot en rad olika aktörer på ett väsentligt bredare sätt än FMV. Avslutningsvis bör det beaktas att kompetens på informationssäkerhetsområdet utgör en kraftigt begränsade faktor. Därför är det naturligt att bygga vidare på den kom­petens som finns inom MSB på detta område, snarare än att FMV ska bygga upp ett helt nytt tillsynsområde för sin verksamhet.