Staten stiftar lagar och pekar ut vad som ska uppnås, men kommuner och regioner vet bäst vad de behöver och bestämmer själva hur de ska utföra sitt arbete. Den grundläggande principen tycks MSB helt ha missat.

Förra veckan beslutade riksdagen om Sveriges nya cybersäkerhetslag. En efterlängtad, viktig och nödvändig reform för att stärka skyddet mot allt fler och allt mer avancerade cyberattacker. Lagen är en del av införandet av EU:s NIS-2-direktiv som på övergripande nivå ska utgöra utgångspunkten för att stärka den digitala motståndskraften i alla medlemsländer.

Nu ska implementeringen gå fort, nya lagen träder i kraft redan om en månad. Och inom kort ska Myndigheten för samhällsskydd och beredskap (MSB) ta beslut om föreskrifter till bland annat kommuner och regioner. Det ska gå så fort att regeringen redan innan riksdagsbeslut och förordning gav MSB i uppdrag att förbereda föreskrifterna som ska reglera uppdragen till kommuner och regioner.

MSB:s förslag till föreskrifter vittnar tyvärr om okunskap, både om hur kommuner och regioner styrs och vad de behöver. De menar att det är staten som på detaljerad nivå bäst kan bedöma hur varje kommun och region ska arbeta. MSB ställer tekniska detaljkrav och vill i detalj också reglera hur kommuner och regioner organiserar sitt cybersäkerhetsarbete.

Staten stiftar lagar och pekar ut vad som ska uppnås, men kommuner och regioner vet bäst vad de behöver och bestämmer själva hur de ska utföra och organisera sitt arbete. Den grundläggande principen tycks MSB helt ha missat.

Staten behöver stötta utvecklingen

Cybersäkerhetsarbete handlar om förbyggande insatser, upptäckt och att åtgärda hot. Vi träffar regelbundet kommuner och regioner som drabbats, många lyfter samma behov – vikten av kontinuitetsarbete, effektiv samverkan och att öva. MSB:s rapport Cybersäkerhetskollen visar också att cybersäkerheten blir allt bättre i både kommuner och regioner.

Den största utmaningen handlar om tillgång till personal med rätt kompetens. Nationellt stöd och kompetensutveckling, liksom möjligheter att dela erfarenheter med varandra, är viktigt. MSB har en viktig roll med sin stödfunktion, deras vägledningar och metodstöd är till stor nytta. Men ingen kommun eller region stärker sin förmåga genom statliga detaljregleringar.

För att leva upp till MSB:s förslag till föreskrifter skulle många kommuner och regioner både tvingas organisera om sitt arbete och dessutom tvingas lägga sina begränsade resurser på att uppfylla formella krav utan större nytta, i stället för att fokusera på att arbeta med faktiska skyddsåtgärder. MSB borde förstå att det inte går att administrera sig till digital säkerhet.

När nu MSB ska fatta beslut om föreskrifter ber vi dem att tänka till både en och två gånger vilka konsekvenser de får för kommuner och regioner. Vi ber dem att tänka om för att undvika statlig detaljstyrning som skulle leda till ökad administration och riskera att försämra det faktiska säkerhetsarbetet. Stötta i stället utvecklingen och implementeringen av den nya lagen i kommuner och regioner. Då kan den cybersäkerhetslagen faktiskt fungera som det var tänkt – att stärka den digitala säkerheten.