Svenska företag och allmänheten visar starkt stöd för att staten tar ett större ansvar för att hantera cyberattacker. Samtidigt konstaterar en ny undersökning från DNV Cyber att varken företag eller medborgare ser sin egen roll som central i att stärka Sveriges digitala motståndskraft. Sveriges nationella cybersäkerhetsstrategi 2025–2029 (“En ny era av cybersäkerhet”) betonar att nationell resiliens beror på ett delat ansvar mellan offentlig sektor, privata aktörer och enskilda medborgare.
En ny rapport från cybersäkerhetsexperten DNV Cyber visar dock att företagsledare inom kritisk infrastruktur ser nationell cyberresiliens som någon annans ansvar, och att allmänheten inte förstår sin roll i att skydda samhället från cyberattacker.
Företag ser motståndskraft som någon annans ansvar
En fjärdedel (26 procent) av cheferna i svenska bolag inom EU-klassade kritiska sektorer är osäkra på om deras organisation är samhällsviktig, och fler än hälften (54 procent) säger att motståndskraften hos kritisk infrastruktur ses som någon annans ansvar i deras bolag. Kritisk infrastruktur inkluderar energi, transport, vatten, sjukvård, finansiella tjänster och andra system som är avgörande för samhället, ekonomin och den nationella säkerheten.
– Många verksamheter inom kritisk infrastruktur är privatägda eller privatdrivna. De behöver inte bara säkra sin egen verksamhet och hantera incidenter som alla andra företag, utan också inse att ett cyberintrång i deras system får långtgående konsekvenser för samhället. Företag ska inte tro att nationell digital motståndskraft kan lämnas till någon högre makt att hantera, säger Mikael Lagström, Team Leader for Application Security på DNV Cyber.
Allmänheten känner sig maktlös inför cyberhot
Majoriteten (60 procent) av svenska medborgare tror att Sverige kommer drabbas av en större cyberincident inom två år. Var femte (21 procent) säger att deras vardag har påverkats av cyberincidenter under de senaste 12 månaderna. Samtidigt tror hälften av allmänheten att de inte kan påverka cybersäkerheten i kritisk infrastruktur, trots att vardagsteknik, som exempelvis uppkopplade smarta energisystem i hemmet, kan skapa ingångspunkter för attacker mot exempelvis elnätet.
– Det är viktigt att Sveriges medborgare inte bara känner till cyberrisker, utan också förstår hur de kan bidra till att reducera dem. Många känner sig maktlösa inför cyberhot, men vi har alla en avgörande roll i att förhindra att dessa attacker lyckas, säger Mikael Lagström.
Starkt stöd för hårdare statliga åtgärder
Både företagsledare och allmänheten uppfattar att det saknas tillräckligt ansvar eller kontroll, vilket leder till ett starkt stöd för att staten ska ingripa. Generellt vill båda grupperna se hårdare reglprocenter kring cyberrisker och att mer information delas. Många accepterar också att staten kan behöva utökade befogenheter: 57 procent av svenska företagsledare är positiva till även känsligare åtgärder som övervakning av offentliga data, och 62 procent av allmänheten tycker att myndigheter bör få större möjligheter att stoppa cyberattacker, även om det kan påverka konsumenters integritet.
För staten är utmaningen hur man ska säkra kritisk infrastruktur utan att direkt förvalta den, en utmaning som myndigheter erkänner i den nationella cybersäkerhetsstrategin.
– Vi måste alla ta ett större ansvar för att skydda Sveriges kritiska infrastruktur. Regeringar kan sätta förväntningar, säkerställa ansvarstagande, dela underrättelser, främja samarbete och bygga medvetenhet. Men de kan inte direkt säkra infrastruktur som de inte äger. Digital motståndskraft beror på hur väl företag, allmänhet och myndigheter förstår och uppfyller sina roller i ett sammanlänkat system, säger Peter Hellström, Head of Cybersecurity Management Consulting på DNV Cyber.
DNV Cybers rapport How cyber resilient is Sweden? bygger på en undersökning med 200 företagsledare inom kritisk infrastruktur samt 500 personer ur den svenska allmänheten, samt kommentarer från cyberledare på Telia, SKF Automotive, Howden, Energi-CERT, Ehälsomyndigheten, Axfood, Försvarsmaktens Cyberförsvarsenhet för kritisk infrastruktur (CDU CI) och DNV Cyber.
Rapporten lyfter fram åtta centrala åtgärder som krävs för att Sverige ska nå målen i strategin:
1. Samarbeta och få bättre förståelse för sårbarheter i leverantörskedjor
2. Förflytta fokus mot hantering och återställande åtgärder
3. Stärka reglering och utveckla incitament
4. Öka förståelsen för vad kritisk infrastruktur är
5. Tydliggöra ansvar inom nationell cyberresiliens
6. Bygga cyber- och AI-kompetens i arbetskraften
7. Stärka allmänhetens möjligheter att bidra
8. Förbereda allmänheten på cyberstörningar
Källa: DSV
