Nya lagar tvingar myndigheter att dela information om cyberhot

Riksdagen har nyligen tagit beslut om att införa nya lagar som ska stärka Sveriges förmåga att skydda sig mot digitala hot, så kallade cyberhot. Beslutet riktar in sig på Nationellt cybersäkerhetscenter (NCSC), en verksamhet där flera stora myndigheter arbetar tillsammans för att skydda landet. De två viktigaste förändringarna handlar om att tvinga myndigheter att dela information med varandra och att ge Försvarets radioanstalt (FRA) tydligare regler för hur de får hantera personuppgifter. För att förstå varför dessa lagar införs måste man titta på hur det har sett ut tidigare. Sverige möter i dag ett ökat hot från främmande länder och organiserad brottslighet som använder nätet för att attackera viktiga system. Detta kan handla om allt från att slå ut sjukhusens it-system till att stjäla hemlig information från svenska företag. För att kunna stå emot dessa attacker startades Nationellt cybersäkerhetscenter (NCSC). Tanken var att myndigheter som Säkerhetspolisen (Säpo), Försvarsmakten, Polismyndigheten och Försvarets radioanstalt (FRA) skulle sitta tillsammans och arbeta mot hoten. Problemet har dock varit de svenska lagarna om sekretess. Dessa lagar finns till för att hemlig information inte ska läcka ut, men de har också gjort det svårt för myndigheterna att prata med varandra. Om Polismyndigheten upptäckte ett hot kunde de ofta inte dela hela bilden med Försvarsmakten eftersom informationen var sekretessbelagd. Detta gjorde att Sveriges samlade försvar mot cyberattacker blev långsamt och ineffektivt. Det första förslaget som riksdagen nu har godkänt är en lag om uppgiftsskyldighet. Denna lag innebär att myndigheterna som ingår i cybersäkerhetscentret blir tvungna att dela med sig av information till varandra, om informationen behövs för att lösa en gemensam uppgift. Det blir alltså en rutin att snabbt skicka vidare viktig information. För att se till att information inte delas helt utan kontroll finns det en spärr. Om en myndighet bedömer att informationen är så känslig att det skulle göra mer skada att dela den än att behålla den, så kan de fortfarande välja att hålla den hemlig. Det andra förslaget handlar specifikt om Försvarets radioanstalt (FRA). Eftersom FRA är den myndighet som leder arbetet på cybersäkerhetscentret behöver de kunna ta emot och hantera stora mängder data. Ofta kommer denna information från privata företag som rapporterar att de blivit utsatta för intrång. Den nya lagen ger FRA rätt att samla in och använda dessa personuppgifter på ett säkert sätt. För att skydda vanliga människors integritet sätter lagen gränser för vilka sökord FRA får använda när de letar i informationen och hur länge de får spara uppgifterna i sina system. För de som påverkas av beslutet, vilket i första hand är myndigheter och stora företag, innebär det att de får en tryggare och snabbare process när en kris uppstår. Om ett svenskt företag blir hackat kan de snabbt få hjälp av staten, och staten kan använda informationen från attacken för att varna andra företag innan de drabbas av samma sak. Nästan alla partier i riksdagen var överens om att dessa lagar behövs, men det fanns en viktig punkt där det uppstod debatt. Centerpartiet (C) valde att kritisera vissa delar av förslaget. De lyfte ett problem som rör privata företags trygghet. Centerpartiet menar att om ett företag frivilligt vänder sig till cybersäkerhetscentret och berättar att deras säkerhet har brustit, så kan denna information skickas vidare till Säkerhetspolisen. Eftersom Säkerhetspolisen också har till uppgift att granska och ge böter till företag som slarvar med säkerheten, varnade Centerpartiet för att företag i praktiken kan anmäla sig själva och bli straffade för att de bad om hjälp. De ansåg därför att riksdagen borde ha utrett denna risk mer noggrant innan lagen klubbades igenom, men de fick inte medhåll från de andra partierna. Lagändringarna kommer att börja gälla i mitten av sommaren, mer bestämt 2026-07-15. Detta ger myndigheterna tid att anpassa sina tekniska system och rutiner för att möta de nya kraven på informationsdelning.