Cybermiljarden är en historisk satsning för att stärka Sveriges digitala motståndskraft. Men för att satsningen ska ge verklig effekt behöver pengarna användas strategiskt och långsiktigt – inte bara till fler system.
Det händer mycket inom cybersäkerhetsområdet, både initiativ och direktiv, som gör det extra viktigt att få prioriteringarna rätt.
För att Sverige ska kunna genomföra NIS 2-direktivet är en ny cybersäkerhetslag på gång. Samtidigt driver EU på för att medlemsstaterna ska säkerställa samhällsviktiga verksamheters förmåga att förebygga, motstå och hantera störningar eller avbrott i verksamheten, vilket har en koppling till cybersäkerhet i vissa delar.
För att stärka Sveriges digitala motståndskraft satsar regeringen nu över en miljard kronor, den så kallade cybermiljarden.
Det ger kommuner och regioner en historisk chans att lyfta sitt cybersäkerhetsarbete till en ny nivå, men satsningen kommer bara att ge verklig effekt om pengarna används strategiskt och inte bara till att köpa fler system.
Lägg pengarna på rätt saker
Cybermiljarden, som är tänkt att täcka åren 2026-2028, ska stärka den digitala säkerheten i samhällsviktiga verksamheter genom satsningar på det nationella cybersäkerhetscentret, samt stöd till kommuner och regioner. Det är en nödvändig investering.
Ett flertal uppmärksammade attacker har redan visat på sårbarheter i de digitala delarna av samhället. Samtidigt utsätts offentlig sektor för alltmer avancerade, omfattande och allvarliga attacker. Det visar att offentlig sektor är ett attraktivt mål för attacker, eftersom stora värden påverkas och för att säkerhetsnivåerna relativt sett är låga.
Det är viktigt att pengarna används på rätt sätt. Att visa handlingskraft och snabba resultat genom att investera i nya tekniska lösningar utan att ha gjort den strategiska hemläxan kanske ser bra ut på pappret, men ger sannolikt begränsade nyttoeffekter.
Ett exempel är att köpa en avancerad sårbarhetsidentifieringslösning, utan att investera i processer, rutiner och kompetens för hur sårbarheter ska hanteras. Genom att börja med produkter och lösningar finns en stor risk att investeringarna inte ger önskat resultat eller ens passar verksamheten.
Säkerhetsfrågan är större än IT – alltså kan den inte bara ägas och drivas av IT.
Börja med att skapa ordning och reda
För att kunna dra största möjliga nytta av cybermiljarden är det lämpligt att redan nu påbörja en nulägesanalys för säkerhetsområdet. Det behöver inte vara en djupgående och omfattande analys. Det kan räcka med att bara gå igenom en rad vitala områden och göra en ”trafikljusbedömning” av dem.
Vet du att du har brister i organisationens säkerhets- eller informationsstruktur, så står det ganska fort klart var du måste börja. Att veta vad som behöver göras och varför är ett viktigt försteg inför att säkerhetsinvesteringar ska göras inom offentlig sektor och är ofta en förutsättning för att kunna ansöka om statliga medel.
Att få en tydlig informationsstyrning på plats är alltid mycket viktigt och helt grundläggande.
Genom att förstå vilken information verksamheten hanterar, hur den flödar, vilka system som används och vilken information som är mest skyddsvärd, blir det ofta tydligt var de största bristerna finns och i vilka delar investeringar kan ge störst effekt.
Utan en informationskartläggning är det svårt att sätta säkerhetsåtgärder i relation till de värden som behöver skyddas om dessa värden inte är tydliga och överenskomna.
Med en tydlig informationsklassning blir det också lättare att avgöra vilka gamla system som måste bytas ut, vilka som behöver säkras upp och vilka som kan fortsätta användas som de är. Det ger en prioriteringsordning som är både kostnadseffektiv och riskbaserad.
Ett strategiskt tillvägagångssätt i fem steg
För att strukturera arbetet tycker jag att dessa fem steg är viktiga:
- Nulägesanalys, där ni gör en genomlysning av verksamheten för att identifiera brister och utmaningar, men också vad som fungerar bra.
- Informationskartläggning. Genom att klassificera er information förstår ni era värden och kan därmed prioritera rätt i riskanalysen.
- Riskanalysen och prioriteringar skapar en tydlig översikt över riskerna och deras potentiella påverkan, samt hur ni ska prioritera i förhållande till dessa.
- Strategi och budget ligger till grund för hur resurserna ska användas för störst effekt.
- Åtgärdsplanen säkerställer att det mest nödvändiga arbetet görs först.
En viktig aspekt är att inte försöka göra allt på en gång. Har ni gått igenom de fem stegen kan ni skapa ett årshjul där ni definierar vad ni ska åtgärda under året för att sen utvärdera insatserna, bocka av och ta nästa område. Det hjälper er dessutom att arbeta långsiktigt och systematiskt med cybersäkerhet.
Tänk långsiktigt – inte snabbt
Det är lätt att känna pressen att visa snabba resultat. Tyvärr kan ett felaktigt fokus på snabba resultat riskerar att urholka hela satsningar. De verksamheter som i stället lägger tid och resurser på det viktiga grundarbetet kommer stå starkast i längden – både tekniskt, organisatoriskt och kompetensmässigt.
Det kan variera enormt mellan olika verksamheter var investeringar behöver göras och hur. Jag tycker dock att en fingervisning, som kan gälla för många verksamheter inom offentlig sektor, är att lägga ungefär en tredjedel av resurserna på de fem stegen ovan, från nulägesanalys till strategisk plan, om ni inte hunnit hit ännu. Balansera det förutsättningsskapande arbetet med att utveckla ledningssystem, införa processer, höja medarbetarnas kompetensnivå och - där det är motiverat - investera i tekniska säkerhetslösningar.
Vi på CGI har lång erfarenhet av att arbeta systematiskt med cybersäkerhet, att hjälpa verksamheter i alla av de fem stegen och givetvis att utforma miljöer och system som uppfyller givna krav och som passar i den strategiska planen.
Ta hjälp av oss för att göra den viktiga nulägesanalysen. Den första analysen behöver inte innebära ett omfattande arbete, men ger er en tydlighet i hur ni sedan ska lägga upp plan, åtgärder, investeringar och teknikval.
Cybermiljarden är inte bara en budgetpost. Den är en möjlighet att bygga en robust digital infrastruktur som kan stå emot framtidens hot.
Det kräver att kommuner och regioner tänker strategiskt, prioriterar rätt och vågar satsa på ordning och reda innan de investerar i nya system.
About this author
Jennie Hagman
Director, Consulting Expert
Jennie Hagman is the cybersecurity practice lead in CGI’s Sweden operations. With more than 20 years of experience in IT and cybersecurity, Jennie guides global organizations in achieving compliance with cybersecurity regulations like NIS2, GDPR and frameworks such as ISO 27001.
