Rapport: Cybersäkerhet för ökad konkurrenskraft

Projektets slutsats är att Sverige inte är tillräckligt rustat för att möta cyberhoten:

• Vi tar inte cyberhoten på tillräckligt stort allvar.
• Det brister i insikterna om sambandet mellan cybersäkerhet och konkurrenskraft.
• Samarbetet mellan privata företag och statliga aktörer kring cybersäkerhet är inte tillräckligt.
• Vår beslutskraft på central politisk nivå är inte tillräcklig för att möta cyberhoten som ökar och förändras i snabb takt.
• Vi klarar inte kompetensförsörjningen inom cybersäkerhetsområdet.
• Vi förbereder och kraftsamlar inte tillräckligt.

Förslag på åtgärder

IVA har identifierat fem nyckelområden med förslag på åtgärder för att stärka Sveriges cybersäkerhet och konkurrenskraft.

1. Politisk styrning på nationell nivå behöver förbättras. Därför föreslår vi att ett cybersäkerhetsråd inrättas inom statsrådsberedningen. Uppgiften ska vara att följa upp den nationella cybersäkerhetsstrategin och se till att den leder till konkret handling. Det är viktigt att rådet blir en effektiv arena för samverkan mellan olika myndigheter och samtidigt driva en rad nyckelfrågor för att öka cybersäkerheten.

2. Utbytet och användningen av information behöver förbättras. Många verksamheter behöver information om potentiella cyberhot och genomförda attacker. Därför föreslår vi en gemensam övergripande plattform för informationsdelning kring cybersäkerhetsfrågor. Vi vill också att de rapporter om cyberincidenter som kommer in till MSB ska användas för att ge tydliga råd. Vi föreslår även att en haverikommission för cyberincidenter inrättas

3. Den operativa förmågan inom organisationer behöver stärkas. Sverige behöver en modell för att hantera cybersäkerhet, en nationell cybersäkerhetsnorm. Den ska göra det ”lätt att göra rätt” genom att den innehåller konkreta verktyg och principer, som exempelvis styrelser och ledning för ett företag kan använda. Arbetet med att utforma normen föreslås ske inom ramen för myndigheternas samarbete i det Nationella Cybersäkerhetscentret.

4. Forskning, innovation och kompetensförsörjning. Sverige behöver kraftsamla för att klara kompetensförsörjningen, inte minst av spetskompetens, inom cybersäkerhetsområdet. Det finns också ett behov av breda bildnings- och utbildningsinsatser. Ett cybercampus är en del av dessa nödvändiga åtgärder. Vi föreslår därför att ett nationellt cybercampus inrättas, i linje med de planer som finns idag. Centret ska bedriva forskning, utbildning och stimulera innovation kring hur den digitala infrastrukturen ska skyddas.
   
   
5. Mobilisering av resurser. Fler aktörer behöver mobilisera sina resurser för att hantera och förebygga incidenter. Vi föreslår därför att en nationell övnings- och teststrategi för cyberdomänen inrättas. Vi vill också att det skapas en kompetenspool av frivilliga som kan bistå vid extraordinära situationer till följd av cyberangrepp. Vi föreslår även att Bug Bounty-program stimuleras. I dessa engageras etiska hackare för att upptäcka svagheter i de öppna delarna i IT-system inom samhällskritiska verksamheter.