Civil cyberresiliens är en del av totalförsvaret

Den dagen Swish och BankID ligger nere i tre timmar märker vi hur tunt det är.

Kassan i mataffären står still. Bensinmacken tar inte betalt. Föräldern som ska legitimera sig på förskolan står handfallen. Hemtjänsten kan inte logga in i planeringssystemet. Och någonstans sitter en kommunikatör och försöker formulera hur länge det kommer att pågå, utan att veta svaret.

Tre timmar. Det är ungefär vad det krävs för att vi ska börja förstå hur djupt det digitala går in i en vanlig vardag.

Och det är där den här texten börjar.

Totalförsvar är bredare än vi pratar om

När totalförsvar diskuteras i media handlar det oftast om Försvarsmakten. Stridsvagnar, ubåtar, värnplikt, JAS. Det är viktigt. Men det är bara halva bilden.

Den andra halvan är civil. Vatten i kranen. El i uttaget. Vård som fungerar. Lön som betalas ut. Transporter som rullar. Kommunen som svarar i telefon. Mataffären som har varor på hyllan.

Allt det som måste fungera för att ett samhälle ska hålla ihop när det blåser snålt.

Och nästan allt är digitalt idag.

Det betyder att civil cyberresiliens inte är ett IT-projekt vid sidan om. Det är en del av Sveriges försvarsförmåga. Lika tydligt som ammunition och insatsförband.

Gapet ligger nästan aldrig i tekniken

Jag har arbetat med det här från insidan i många år. Som IT- och digitaliseringschef i kommunal verksamhet. Med NIS-ansvar. Som TIB i beredskap. Innan dess som Group CIO för en koncern i åtta länder.

Och något jag märkt om och om igen är att gapet sällan ligger i tekniken.

Tekniken finns. Verktygen finns. Konsulterna finns. Det går att köpa SIEM, EDR, sårbarhetsskanning och brandväggar på dagen. Det går att hyra in penntestare och säkerhetsarkitekter.

Det som saknas är något annat.

Det är styrning.

Om någon faktiskt äger frågan. Mäter den. Finansierar den. Tränar på den. Vet vad som ska prioriteras när allt inte hinns med. Eller om den hamnar mellan stolarna tills något händer.

När jag pratar med kollegor i kommun och region är det inte tekniska frågor som dominerar. Det är frågor om mandat, budget, ansvar och uppföljning. Vem äger informationssäkerhetsarbetet? Var sitter det i organisationen? Vem rapporterar till vem? Har vi övat på att förlora system, eller bara på att skydda dem?

Det är där arbetet ligger.

Sex frågor varje ledning borde kunna svara på

Om jag fick välja sex frågor som varje kommunledning, regionledning och leverantör av samhällsviktig tjänst borde kunna svara på utan att tveka, är det dessa:

1. Vet vi vilka system som faktiskt måste fungera?

Inte vad som är trevligt att ha. Inte vad som är viktigt enligt budget. Utan vilka system som verksamheten inte klarar sig utan i tre dagar, en vecka, en månad. Om svaret är “vi har en lista någonstans” är det inte tillräckligt.

2. Vet vi vem som äger risken när de inte fungerar?

Risk utan ägare är ingen risk. Det är ett önsketänkande. Om svaret är “IT-avdelningen” är det nästan alltid fel. IT förvaltar. Verksamheten äger.

3. Har vi övat på att förlora dem, på riktigt?

Inte i en pärm. Inte på en workshop. Utan med strömmen ur, systemen nere, telefonerna tysta. Vad gör hemtjänsten då? Vad gör socialtjänsten? Vad gör räddningstjänsten? Vad gör kommunchefen?

4. Klarar verksamheten tre dagar utan moln? Två veckor?

De flesta verksamheter har idag kritiska funktioner i molntjänster som ligger utanför svensk jurisdiktion. Det är inte fel i sig. Men om en sådan tjänst försvinner, hur länge fungerar verksamheten innan det blir en kris?

5. Vem ringer vi klockan 02 en söndag när det brinner?

Den frågan är inte teoretisk. Den är operativ. Och om svaret är “vår leverantör” är följdfrågan: med vilken responstid, enligt vilket avtal, och vem hos oss tar emot deras rapport?

6. Vad händer om en leverantör i ett annat land drar ur kontakten?

Det kan vara av politiska skäl. Det kan vara sanktioner. Det kan vara en konkurs eller ett uppköp. Hur snabbt går det att byta? Vad behöver migreras? Vem äger den planen?

Det är inte teoretiska frågor. De är vardag för den som faktiskt har ansvar för kontinuitet.

Cybersäkerhetslagen och NIS2 är inte regelbörda

I diskussionerna om NIS2 och den nya cybersäkerhetslagen hörs ofta ordet regelbörda. Att det blir mer dokumentation. Mer kontroll. Mer administration.

Jag förstår frustrationen. Krav som inte är förankrade i verksamheten blir alltid en börda.

Men jag ser regelverken annorlunda.

Det är ett försök att lägga en grundnivå som tål verkligheten. Att säkerställa att de organisationer som ansvarar för samhällets funktion faktiskt har ett systematiskt sätt att hantera risk, incidenter och leverantörer. Inte för att någon i Bryssel tycker att det är roligt. Utan för att verkligheten har blivit hårdare.

Ukraina har lärt oss saker som inte går att avläsa i en hotbild från för fem år sedan. Iran har visat andra. Cyberangrepp mot kommuner och regioner i Sverige har visat att det inte är hypotetiskt. Det händer. Det har redan hänt. Det kommer att hända igen.

Mot den bakgrunden är NIS2 inte en överreaktion. Det är en grundnivå.

Försörjningstrygghet och digital suveränitet hänger ihop

Det finns en sak till som behöver sägas, även om den är obekväm.

Det går inte att lägga ut sitt totalförsvar på en plattform man inte styr över.

Det betyder inte att alla molntjänster är fel. Det betyder inte att internationella leverantörer ska bort. Det betyder att vi behöver vara medvetna om var beroenden ligger, vilka som är acceptabla, och vilka som behöver alternativ.

Den frågan är inte teknisk. Den är politisk och strategisk. Och den behöver ställas på varje styrelsenivå, från kommunfullmäktige till bolagsstyrelser inom kritisk infrastruktur.

Försörjningstrygghet handlade förr om bränsle, livsmedel och reservdelar. Idag handlar det också om datacenter, certifikat, identitetsfederation och uppdateringstjänster.

Det är samma fråga. Bara nya beroenden.

Vad betyder det här i praktiken

För dig som leder en verksamhet med samhällsviktig funktion är det här mitt råd.

Börja inte med teknik. Börja med styrning.

Klargör vem som äger informationssäkerhet i din organisation. Inte på pappret. På riktigt. Med mandat, budget och rapportering till högsta ledning. Om den personen inte finns, eller om rollen är delad mellan tre funktioner som ingen pratar med, är det där arbetet börjar.

Inventera vilka tjänster verksamheten faktiskt inte klarar sig utan. Klassificera dem. Förstå beroendena bakåt i leverantörskedjan. Identifiera var koncentrationsrisken är högst.

Bygg ett systematiskt arbetssätt. Inte ett projekt. Ett arbetssätt. NIS2 och cybersäkerhetslagen ger en bra struktur för det. Använd dem som verktyg, inte som hinder.

Träna på att förlora. Inte på att skydda. Det är två olika saker. Skyddet bygger förmåga att stå emot. Träningen bygger förmåga att fungera när skyddet inte räcker.

Och våga ställa de obekväma frågorna i ledningsgruppen. Om budget. Om prioritering. Om vad som händer om vi inte gör något.

Avskräckning på civil sida

Modern avskräckning bygger inte på att säga att allt är under kontroll. Det vet alla att det inte är.

Avskräckning är att visa förmågan att lära, anpassa och förbättra snabbare än hotet utvecklas.

Det är där Sverige har en faktisk möjlighet just nu. Vi rustar. Lagstiftningen finns på plats. Engagemanget i kommuner, regioner och näringsliv ökar. Cybercampus Sverige tar form. Investeringarna går åt rätt håll.

Frågan är bara om vi använder det rätt.

Om vi börjar med metoden, eller om vi köper verktyg och hoppas på det bästa.

Det är inget projekt med slutdatum. Det blir aldrig klart. Det blir bara bättre, eller sämre, beroende på vad vi gör idag.

Om du vill diskutera hur er organisation kan stärka sin civila cyberresiliens, eller hur ni praktiskt går från regelverk till arbetssätt, hör av dig.