Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag

Herr talman! Riksdagen debatterar i dag ett av de viktigare besluten för Sveriges säkerhet, nämligen förslaget om en ny cybersäkerhetslag. Detta är ett lagverk som kommer att stärka Sveriges motståndskraft i en tid när hoten mot vårt land blir alltmer avancerade, alltmer systematiska och alltmer riktade.

Cyberangrepp är inte längre hypotetiska scenarier utan en del av vardagen. De riktas mot våra myndigheter, våra företag, våra kommuner och våra kritiska samhällsfunktioner. Angreppen ökar i både omfattning och komplexitet. Därför agerar vi nu i riksdagen och regeringen.

Regeringen lägger nu fram den mest omfattande cybersäkerhetslagstiftning Sverige någonsin haft. Den bygger i huvudsak på NIS 2-direktivet, som ska genomföras i alla EU:s medlemsstater och som i betänkandet beskrivs som ett helt nödvändigt steg för att åstadkomma en hög och gemensam cybersäkerhetsnivå i unionen.

Jag skulle vilja understryka tre viktiga saker i den här propositionen.

För det första stärker vi Sveriges grundnivå när det gäller cybersäkerhet. Lagen skärper kraven och utökar kretsen av aktörer som omfattas. 18 kritiska sektorer, från energi, transporter och hälso- och sjukvård till livsmedel, dricksvatten, digital infrastruktur och offentlig förvaltning, kommer nu att omfattas av tydligare krav. Det handlar om att aktörer måste ha strategier för riskanalys, incidenthantering, leverantörskedjor och kontinuitet. Ledningen i berörda verksamheter ska även genomgå utbildning i cybersäkerhet. Detta är helt i linje med direktivet och avgörande för att skapa ansvarstagande på högsta nivå.

För det andra förbättrar vi förmågan att upptäcka och hantera incidenter. Aktörer inom de utpekade sektorerna måste rapportera betydande incidenter inom 24 eller 72 timmar. Det gör att spridningen kan begränsas och att staten snabbt får en samlad lägesbild. Tillsynsmyndigheterna får också skarpare verktyg i form av förelägganden, sanktionsavgifter och i särskilda fall möjligheten att förbjuda en befattningshavare att inneha en ledningsfunktion. Det här är nödvändiga verktyg, och utskottet står bakom dem.

För det tredje får kommunerna både tydligare krav och ökade resurser.

Herr talman! Kommuner och regioner är centrala delar av totalförsvaret. Deras digitala system är viktiga för allt från omsorg och vård till vatten och skola. Den nya lagen klargör ansvar, skärper kraven och förutsätter ett systematiskt säkerhetsarbete.

Staten lämnar dem dock inte ensamma. I budgeten tillförs kommuner och regioner 250 miljoner kronor för att säkerställa att de kan leva upp till de nya kraven. Det är en del av regeringens breda cybersäkerhetssatsning i budgetpropositionen.

Herr talman! Cybersäkerhet är numera en del av totalförsvaret, och precis som i totalförsvaret har alla en roll. Detta gäller staten, kommunerna, regionerna och företagen men också var och en av oss som använder digitala system i vardagen. Grundläggande cyberhygien och ett medvetet förhållningssätt kan vara det som hindrar nästa angrepp från att lyckas.

Låt mig också understryka att regeringen har valt kvalitet framför hastighet i genomförandet av NIS 2-direktivet. Syftet har varit att skapa ett långsiktigt hållbart regelverk och att inte i onödan belasta företag och aktörer med oproportionerliga kostnader. Det är ansvarstagande politik.

Regeringen har dessutom tagit fram en ny nationell cybersäkerhetsstrategi, gjort en omstrukturering av det nationella cybersäkerhetscentret och stärkt stödet till kommuner, regioner och företag.

Herr talman! Vårt samhälle är i dag djupt beroende av digitala system. Det gör oss starka men också sårbara. Cyberangrepp kan slå ut vår elförsörjning, störa betalningar, hota vår sjukvård och påverka vår demokrati. Att stå passiv vore ett svek mot svenska folket.

Därför tar vi Tidöpartier nu ansvar. Med denna lag höjer vi Sveriges motståndskraft och skyddar välfärden, företagen och medborgarna, och vi gör det med ett kraftfullt, modernt och proportionerligt regelverk.

Jag yrkar därför bifall till utskottets förslag och därmed till propositionen.

(Applåder)

Herr talman! Jag instämmer med Moderaternas ledamot Camilla Brunsberg: Ämnet vi nu debatterar är oerhört viktigt.

Vi socialdemokrater har tidigare reagerat på regeringens olika cyberstrategier, och därför reagerar jag nu när jag hör ledamoten tala om denna cyberstrategi. De senaste åren har ju många olika strategier staplats på varandra.

Våren 2023 påpekade Riksrevisionen att samhällets styrning och ansvarsfördelning måste bli ännu tydligare i allt som rör cybersäkerhet. Var har då hänt under SD-M-KD-L-regeringen? Digitaliseringsministern, som är kristdemokrat, levererade i våras en egen strategi, och för ett år sedan levererade också utrikesministern en egen cyberstrategi för utrikesförhållanden. Regeringen har även lanserat en ambassadör med ansvar för cybersäkerhetsfrågor, vilket är intressant eftersom det digitala inte har några nationsgränser. Utöver detta ska justitieministern hantera cyberfrågor om de har med terrorism att göra. Vidare åker utbildningsministern till Cybercampus och klipper band samt skriver debattartiklar om cyberstrategi.

Herr talman! Jag vet inte hur den handfull olika strategier som har levererats gör det hela mer strategiskt. Jag förstår inte det.

(Applåder)

Herr talman! Jag förstår att ledamoten Markus Selin är orolig över cybersäkerheten med tanke på att Socialdemokraterna misslyckades med att leverera under sin tid vid makten. Precis som ledamoten påpekade var Riksrevisionens kritik brutal. Inget fungerade. Trots att vi var ett av världens mest digitaliserade länder var vår nationella cybersäkerhet rejält eftersatt.

Det är dock bra att ledamoten pekar på dagens höga ambitionsnivå och stora reform. Omfattande initiativ tas för att höja den nationella cybersäkerheten. Till exempel debatterar vi nu den nya cybersäkerhetslagen, som är den mest ambitiösa lagstiftningen någonsin i Sverige när det gäller cybersäkerhet. Jag hoppas att vi åtminstone är överens om att denna lagstiftning är skarp och tillräckligt bra.

Som jag påpekade i mitt anförande har vi gjort ett omfattande reformarbete eftersom cybersäkerheten var kraftigt eftersatt och Riksrevisionens kritik brutal – en kritik som riktades mot just den socialdemokratiska regeringen. Nationellt cybersäkerhetscenter har fått en ny, tydlig och strategisk styrning och ledning, en ny cybersäkerhetsstrategi är på plats och Sverige får nu sin skarpaste lagstiftning någonsin för cybersäkerhet.

Jag förstår som sagt ledamotens oro, men det var bra att ledamoten passade på att berätta för kammaren vilken hög ambitionsnivå vår borgerliga regering har i detta ärende.

(Applåder)

Herr talman! Jag får inget svar. Vilken strategi gäller – och när? Det här är allvar, för under mandatperioden har cybersäkerhetsstrategierna blivit ett gytter. Det har blivit jättestruligt.

Ministern för civilt försvar, moderaten Carl-Oskar Bohlin, skulle ha varit här i dag men har tyvärr blivit sjuk. Under sin presskonferens i våras gjorde han det berömda uttalandet att strategin inte innehåller flum och omätbara mål. Eftersom jag är intresserad av cybersäkerhet gick jag in och tittade på Moderaternas uppdaterade strategi. Här listas 73 åtgärder, vilket ser fint ut. Men 38 av dessa åtgärder, alltså fler än hälften, är rent trams. Om man kan projektledning och ser strategin frågar man sig nog vad detta är för något. Till exempel står det att Nationellt cybersäkerhetscenter tills vidare ska ha verksamhet med FRA. Det är ett icke-påstående. Vidare är en favorit att polisen ska hålla på med cyberbrott. Det är alltså en av dessa 73 åtgärder. Detta är trams!

(Applåder)

Herr talman! Jag skulle vilja påstå att ledamotens kritik är trams. Här står en ledamot vars regering var ansvarig för att Sverige under flera år hade en kraftigt eftersatt cybersäkerhet.

Jag tycker att denna cybersäkerhetsstrategi är otroligt bra, och jag är stolt över att vi har tagit fram den. Den innehåller konkreta åtgärder och årliga uppföljningar, vilket ska jämföras med den politik på området som fick brutal kritik av Riksrevisionen eftersom det saknades både styrning och ledning. Den här cybersäkerhetsstrategin får högsta betyg av mig eftersom den som sagt innehåller konkreta handlingsplaner och årliga uppföljningar.

I dag klubbar riksdagen dessutom igenom den skarpaste lagen någonsin om cybersäkerhet.

Jag förstår ledamotens oro med tanke på hans bagage och historia, men jag är stolt över att vi har tagit krafttag och stärkt cybersäkerheten i Sverige. Jag tycker också att Nationellt cybersäkerhetscenter gör ett enastående bra jobb, och centret är och kommer att fortsätta att vara ett bra stöd till alla Sveriges kommuner och regioner. Jag är stolt över den politik vi genomför och den lag som kommer att klubbas igenom i dag.

(Applåder)

Herr talman! Vi debatterar nu försvarsutskottets betänkande Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag. Det handlar om vår digitala motståndskraft, om att säkra de system som håller Sverige igång och om att skydda vårt samhälle när hotbilden växer.

Vi befinner oss i ett av de mest allvarliga säkerhetspolitiska lägena sedan kalla kriget. Cyberangrepp används i dag som en del av moderna konflikter. Kommuner, regioner, myndigheter och företag har under de senaste åren utsatts för intrång, utpressning och attacker som har slagit direkt mot oss alla och mot välfärd och säkerhet. Samhället är beroende av det digitala, och det digitala är beroende av samhället. Ett enda intrång kan påverka vård, transporter, betalningar och el- och vattenförsörjning. Det är mot denna bakgrund vi i dag behandlar den nya lagstiftningen.

Herr talman! Med denna cybersäkerhetslag genomförs EU:s NIS 2-direktiv, men den är också en nödvändig modernisering för Sverige. Lagen innebär bland annat skärpta säkerhetskrav och att fler verksamheter än tidigare omfattas. Samhällsviktiga aktörer får tydliga skyldigheter att analysera risker, vidta säkerhetsåtgärder och rapportera incidenter.

Lagen innebär bland annat också en kraftigt stärkt tillsyn. Regeringen bestämmer vilken eller vilka myndigheter som ska vara tillsynsmyndighet. Tillsynen blir mer effektiv, med möjligheter till förelägganden och sanktionsavgifter.

Lagen innebär också bland annat ökad säkerhet i leverantörskedjor. Vi har sett att angripare ofta slår via underleverantörer. Med den nya lagen blir myndigheter och företag skyldiga att kontrollera och säkra sina kedjor och beroenden.

Lagen innebär bland annat också bättre anpassning till EU. Interoperabilitet är en viktig förutsättning för totalförsvaret. Sverige måste kunna samarbeta digitalt med våra partner när det gäller.

Herr talman! Detta är en omfattande reform, och Socialdemokraterna står bakom huvuddragen. Men lagen vi fastställer i dag är bara ramen; fler brister måste även fortsättningsvis hanteras om lagen ska få verklig effekt.

Det tas små steg åt rätt håll, långsamt, men i det stora hela brister fortfarande den nationella styrningen. Sveriges cybersäkerhetsstruktur är fortfarande splittrad.

Försvarets radioanstalt gör ett mycket viktigt och avancerat arbete gällande signalspaning men även informationssäkerhet, och det är välkommet att de har tagit över huvudansvaret för Nationellt cybersäkerhetscenter.

Trots att Riksrevisionen redan i april 2023 lämnade rekommendationer i sin rapport om regeringens styrning av samhällets informations- och cybersäkerhet är ansvaret fortfarande otydligt fördelat mellan olika myndigheter, ministrar och departement.

Två av huvudbudskapen i Riksrevisionens rapport var att arbetet måste bli mer strategiskt och att en samlad styrning med en tydlig ansvarsfördelning måste säkerställas.

Vi stöder regeringens lagförslag i dag, men samtidigt finns mycket av politiken i andra debatter och betänkanden. Vi yrkar därför bifall till vår reservation i dag under rubriken Cyberpolitikens utveckling, med betoning på nyckelfraser i vår reservationstext. Det handlar om ”systematiskt” och att vi måste låta ”statens ansvar och förmåga inom cybersäkerhet fortsätta att byggas ut och fördjupas” samt att allt detta ska ske ”samordnat och kraftfullt”.

Här kan påminnas om att när den uppdaterade nationella strategin för cybersäkerhet presenterades i våras av den moderata ministern för civilt försvar användes ord som ”detta är inte en strategi som innehåller flum och omätbara mål”. Men om vi tittar i bilagan ser vi att det finns 73 handlingsåtgärder i punktform, varav fler än hälften är just omätbara. Emellanåt är det rent ut sagt trams, till exempel att Polismyndigheten ska jobba med cyberbrott.

Vi har sett ett staplande av olika strategier i Sverige de senaste åren, trots det som Riksrevisionen meddelade oss våren 2023. Jag vet inte, och jag tror inte att någon vet, hur ett staplande av olika strategier plötsligt ska göra hela vår samlade cybersäkerhetsstrategi ännu mer strategisk.

Exempelvis släppte digitaliseringsministern en egen digitaliseringsstrategi i våras. Utrikesministern släppte en egen cybersäkerhetsstrategi för utrikesförhållanden för ganska precis ett år sedan. Regeringen har även utsett ett särskilt sändebud med ansvar för cyberfrågor – en ambassadör – vilket är intressant eftersom det digitala över huvud taget inte har några nationsgränser.

Försvarsministern från Moderaterna har en egen cyberstrategi som kom sommaren 2024 och som handlar om att den digitala kommunikationen till exempel kan gå via satelliter. Också justitieministern ska hantera cybersäkerhetsfrågor, för om någon snabbt får veta att det kan röra sig om terrorbrott hamnar det på justitieministerns bord.

Det här är inte en samlad styrning, utan det är oklart. Ytterst handlar det om vår säkerhet.

En intressant sak är att det som delsvar på Riksrevisionens rapport från våren 2023 kom en skrivelse från regeringen där den nationella säkerhetsrådgivaren lyftes upp som en möjlig sammanhållande länk som skulle driva på. Utan att vrida om det här alltför mycket kan vi säga att den moderata statsministern såg en nationell säkerhetsrådgivare som ett prestigeprojekt. Det skulle även ha direkt bäring på vår cybersäkerhet, men det blev pannkaka.

Ändå vet vi inte riktigt hur allt detta kopplas till nästa möjliga större cyberattack i Sverige. På regeringens hemsida står det att det är statsministerns statssekreterare som ska leda det samlade krishanteringsarbetet.

Herr talman! Socialdemokraterna vill se ett mer sammanhållet nationellt cyberansvar, tydlig styrning, ett tydligt stöd till kommuner, regioner och näringsliv, förstärkt offentlig it-säkerhetskompetens och i stort en svensk innovations- och industripolitik som stärker vår egen cybersäkerhetsförmåga.

I dess enklaste form kan vi utrycka det så här: Genom att höja den breda it-kunskapen i Sverige får vi starkare motståndskraft, statistiskt fler experter på köpet, fler affärsidéer och en ärlig chans att bli världsbäst på att tillvarata digitaliseringens möjligheter.

Vi socialdemokrater kommer att fortsätta att driva på för att Sverige ska stå starkt även inom den digitala domänen – ett Sverige där välfärd, näringsliv, infrastruktur och demokrati kan skyddas när angreppen ökar och ett Sverige som är en pålitlig partner i en alltmer osäker omvärld.

(Applåder)

Herr talman! Återigen får vi höra ledamoten Markus Selin från talarstolen berätta om det omfattande och ambitiösa reformarbete som regeringen nu har genomfört när det gäller cybersäkerheten. Jag tycker att det är bra att ledamoten påpekar detta gång på gång, för det är viktigt att vi nu gör ambitiösa satsningar, gör reformer och gör förändringar och förbättringar för att få cybersäkerheten på plats. Den var kraftfullt eftersatt.

Det är lätt att kritisera det som en regering gör, men det som jag konkret skulle vilja veta från ledamoten Markus Selin nu är exakt vilka delar som ledamoten avser att ta bort från det extremt ambitiösa reformarbete som regeringen har genomfört. Vad är det du tänker ta bort? Vilken strategi tänker du kapa om Socialdemokraterna får regeringsmakten?

Det är lätt att bara sitta på läktaren och säga att det är dåligt, men nu vill jag veta konkret vilka delar som ledamoten avser att ta bort i det extremt ambitiösa reformarbete som vår regering har genomfört. Det är en borgerlig regering som har stöd av Sverigedemokraterna och stark majoritet i kammaren.

Det vore intressant för väljarna att veta hur du tänker nedmontera den svenska cybersäkerheten och vilka strategier du tänker ta bort, eftersom du var så tydlig i ditt anförande.

Jag får påminna ledamoten om att vi inte använder ”du” som tilltal.

Herr talman! Ja, var ska vi börja? När det gäller hur samhällets samlade cybersäkerhet ska bli mer strategisk är svaret inte fem strategier. En strategi räcker.

Om vi vill samla styrningen av och förvaltarskapet för vår gemensamma cyberstrategi räcker det med ett statsråd eller en minister, eller möjligtvis två eftersom vi har två i Försvarsdepartementet just nu. Men nu börjar det bli både justitieministern, utbildningsministern, civilministern tillika digitaliseringsministern, ministern för civilt försvar och försvarsministern och därtill utrikesministern, som har utsett en utrikesambassadör med ansvar för cyberfrågor och en egen strategi.

Jag tror att det är fler än jag som hör att detta inte är strategiskt.

Hur skulle vi då göra? Jag har nästan svarat på det. Vi skulle samla styrningen med så få strategier som möjligt, men de skulle vara spänstiga, krispiga och klara. Sprid inte ut ansvaret på flera departement, fler myndigheter och fler ministrar! Jag tror faktiskt att det har blivit så.

Jag har märkt att detta med cyber är ett modeord. Jag kan ha fel, men jag tror att det är lite coolt att sprida ordet cyber i samhället. Det låter lite hippt och modernt och så. Men konsekvenserna kan bli förödande när man gör pappersprodukter med 73 olika aktivitetsmål, för när man väl läser dem ser man att det bara är luft. Sedan säger ministern på presskonferensen att det inte är flum, men det är precis det vi har fått.

(Applåder)

Herr talman! Jag kan konstatera att ledamoten anser att cybersäkerhetsstrategin är trams, att vi har alldeles för många strategier och att man egentligen vill ta bort allihop.

Jag vill ändå en gång till påpeka att jag är otroligt stolt över vårt reformarbete och den ambitionsnivå som vår borgerliga regering har när det gäller cybersäkerheten. Inte nog med att vi har reformerat Nationellt cybersäkerhetscenter och tagit fram en skarp cybersäkerhetsstrategi med handlingsplaner och årliga uppföljningar, utan i dag klubbar vi den skarpaste lag vi någonsin har sett på området. Vi har också tillsatt en minister som är ansvarig för det civila försvaret, där cybersäkerheten ingår.

Jag kan konstatera att trots att Socialdemokraterna inte klarade av att hantera cybersäkerheten under sin tid vid makten är löftet från dem att montera ned allt det ambitiösa reformarbete som vår regering har genomfört och gå tillbaka till ruta ett, det som Riksrevisionen så brutalt kritiserade.

(Applåder)

Herr talman! Ledamoten säger att vi vill ”montera ned allt”. Nej, det är ingen här som har sagt något om att montera ned allt. Låt mig vara tydlig: Om den här regeringen i ett prestigeprojekt utser en nationell säkerhetsrådgivare som ska vara sammanhållande för cybersäkerheten också och det blir pannkaka – ja, då är det pannkaka!

Jag är inte intresserad av en bilaga med 73 hittepåpunkter i regeringens cyberstrategi. Jag är genuint orolig: Vem är det som styr? Vi kan få en cyberattack i eftermiddag. Vi har inte sett de värsta konsekvenserna än. Vi har drabbats hårt, men det kan bli ännu värre i eftermiddag. Men vem är det som styr i händelse av en allvarlig cyberattack? Är det statsministerns statssekreterare, eller är det den nationella säkerhetsrådgivaren? Och vilken av de fem ministrar jag nämnde är det som har det yttersta ansvaret? Är det justitieministern, utrikesministern, digitaliseringsministern tillika civilministern, försvarsministern eller ministern för civilt försvar?

Detta angår ju oss alla. Alla borde vara jätteangelägna om att få klarhet här. Vem är det som styr? Vilken strategi är det vi ska följa? Vilket departement är det vi ska följa? Vilken presskonferens och vilket departement ska journalisterna åka till när de granskar vårt arbete?

Vi har 290 kommuner och 21 regioner. Vilken myndighet är det vi ska ty sig till?

Jag står inte här för att det var en rolig bilaga och ett roligt uttalande av den moderata ministern i våras. Jag säger att det här är allvar. Vi ser det runt om oss. Konsekvenserna kan bli jätteallvarliga om man inte tar detta på fullt allvar.

Jag lovar en sak: Socialdemokraterna kommer att fortsätta att se riktigt allvarligt på de här frågorna. Det gäller vår yttersta säkerhet.

(Applåder)

Herr talman! Vi debatterar försvarsutskottets betänkande nummer 2, Ett stärkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag. Låt mig börja med att yrka bifall till utskottets förslag i dess helhet och avslag på reservationerna.

Herr talman! Sverige är i dag ett av världens mest digitaliserade länder. Det är definitivt en fantastisk styrka men också förstås en sårbarhet. Vi ser hur cyberangrepp inte längre riktas bara mot myndigheter eller enskilda företag. De riktas mot våra mest grundläggande samhällsfunktioner: elnät, betalningssystem, kommunikationer, sjukvård och transporter. I dag debatterar vi därför en av de viktigaste lagstiftningarna för Sveriges samlade motståndskraft, den nya cybersäkerhetslagen, som genomför EU:s NIS 2-direktiv. Det handlar ytterst om att skydda Sverige – inte bara våra data utan vårt sätt att leva.

Det finns ett par skäl som gör den här lagstiftningen så viktig. Det första är att hotbilden mot Sverige nu är allvarligare än på många decennier. Cyberangrepp används som ett vapen av auktoritära stater och kriminella aktörer. Vi har sett sabotage mot kommuner, regioner och företag. Vi har sett hur känslig information stulits och hur ransomwareattacker har lamslagit samhällets funktioner.

Låt mig ta några exempel. Vi hade under förra året en omfattande attack mot Nordea som var massiv och höll på i 25 dagar i rad. Förut har attackerna pågått under ett par dagar, men nu var det alltså 25 dagar i rad med tunga DDOS-attacker. Det är en av de mest ihållande attacker som drabbat en nordisk bank.

Attacken fick stora konsekvenser. Internetbank och mobilapp stördes. Betalningar, Swish och korttransaktioner påverkades. Både företag och privatpersoner hade svårt att genomföra transaktioner. Detta visar hur sårbart vårt finansiella system är och hur snabbt ett cyberangrepp kan slå mot hela samhällets betalningsflöden.

Ett annat exempel som förtjänar att påminnas om är förra årets cyberattacker mot Region Skåne, där journalsystem och vårdprocesser slogs ut. Vi har också både i år och under förra året sett attacker riktade mot Finland och Norge som har slagit mot kritisk infrastruktur. Myndigheter och tjänster har slagits ut, och personuppgifter har riskerat att exponeras.

Detta är verkligen ett starkt hot som är pågående just nu. Vi vet också att särskilt Ryssland, Kina, Nordkorea och Iran är de största aktörerna. Därför, herr talman, är det viktigt att täppa till de digitala luckor som finns. Företag och myndigheter som utgör en del av vår samhällsviktiga infrastruktur måste ha en robust grundnivå av säkerhet. Detta varierar stort i dag. Det är inte hållbart.

Lagen ställer tydliga krav på riskanalyser, incidentrapportering, styrning och kontroll. Det är helt nödvändigt. Det är också värt att påpeka att vi har haft ett cybersäkerhetsarbete som har varit väldigt fragmenterat under många decennier. Exempelvis har cybersäkerhetscentret från början haft fyra huvudmän och ännu fler som man skulle samverka med. Nu har det blivit FRA som är huvudansvarigt för centret, vilket är väldigt bra. Men här finns det sannolikt mer saker som behöver göras för att få ytterligare centralisering. Jag tror på sikt att vi behöver ha en myndighet som tar huvudansvaret för det här arbetet, som det är i många andra länder.

Herr talman! Hej alla som lyssnar eller tittar hemma! I dag debatterar vi en ny cybersäkerhetslag. Jag vill börja med att yrka bifall till reservation 3.

Herr talman! Vi lever i en väldigt sårbar värld. Inte nog med att Ryssland har invaderat Ukraina och att Israels ockupation av Palestina fortsätter – på båda platserna med ett stort antal dödade civila och stor materiell förstörelse – utan vi har även en rusandeklimatkris som leder till att människor behöver fly efter klimatrelaterade kriser. Vi ser en polarisering i världen som gör att grupper ställs mot varandra. Vi ser ett mycket stort antal cyberattacker som drabbar samhällets funktionalitet i grunden.

För några månader sedan besökte jag och en delegation riksdagsledamöter Taiwan. Där berättade de om hur de utsätts för miljoner cyberattacker varje dag. Det är ett reellt hot mot väldigt många av samhällets viktiga funktioner, men det innebär också en mycket stor risk för desinformation genom falska nyheter och propaganda som tar sig in i samhället, till exempel genom organiserade trollfabriker. I Sverige är det inte fullt lika många attacker, men vi blir ändå utsatta för ett mycket stort antal cyberattacker varje dag.

Cybersäkerhet måste därför vara en kärna i vårt totalförsvar. Vårt samhälle är i dag digitaliserat i väldigt hög grad. Det är mycket som slutar fungera om de digitala systemen går ned. I många fall kan en cyberattack få förödande konsekvenser, inte bara för människor i form av en mer komplicerad vardag utan också för samhällsviktiga verksamheters sätt att fungera och i slutändan, i värsta fall, för liv och hälsa. Cybersäkerhet är därför en av pusselbitarna i att kunna ha ett robust och säkert samhälle för alla våra invånare.

Herr talman! Cybersäkerheten är ett delat ansvar. Den är ett ansvar för den enskilde, som måste ha koll på sin egen digitala närvaro, sina lösenord och sina inloggningar och veta hur man ska bete sig på ett korrekt sätt i den digitala världen. Den är ett ansvar för näringslivet, där varje företag måste säkra sin egen verksamhet och sina digitala system. En stor del av vårt totalförsvar och civila försvar ligger just hos privata företag. Men den är framför allt ett gemensamt statligt och offentligt ansvar.

Vänsterpartiet menar att staten och det offentliga samhället har ett speciellt ansvar att ge stöd och hjälp till andra verksamheter för att hela samhället ska vara tryggt och säkert. Det finns stora behov av koordinering, råd, stöd, informationsutbyte och övningar även på det här området, så att inte alla verksamheter, kommuner eller företag själva ska behöva utveckla sina egna lösningar.

Skydd av it och information måste betraktas som en kärnverksamhet av alla, både offentliga och privata verksamheter, och tilldelas de resurser som krävs för en kärnverksamhet. Detta gäller framför allt de statliga myndigheterna och andra offentliga organisationer. Den offentliga cybersäkerheten måste föregå med gott exempel, vilket den tyvärr inte alltid har gjort. Ytterst är det regeringens ansvar att se till att det finns nödvändiga förutsättningar för myndigheterna att göra detta. Det är av största vikt att cybersäkerhet inte läggs ut på entreprenad utan verkligen betraktas som en del av kärnverksamheten.

Det är mycket bra att regeringen nyligen meddelade att cyber kommer att bli en del av civilplikten. Det betyder att vi kan stärka upp den direkta och akuta cybersäkerheten vid höjd beredskap genom att kalla in personer som har den typen av kunskaper. Det är ett stort statligt ansvar att ta på området. Men arbetet måste såklart göras långt innan vi hamnar i höjd beredskap.

Herr talman! De senaste årens stora privatiseringar och utförsäljningar av offentlig verksamhet har gjort att det offentliga samhället inte längre har full rådighet över den samhällsviktiga verksamheten. Detta är ett stort problem. Vi ser bland annat hur kinesiska företag med starka kopplingar till den kinesiska staten investerar strategiskt i, och tar över, samhällsviktig infrastruktur i andra länder.

Vänsterpartiet menar att denna utveckling måste brytas och att stora förändringar måste göras. Vi menar att det ligger i medborgarnas intresse att verksamheter och infrastruktur som är viktiga för samhällets utveckling ägs av medborgarna gemensamt, genom staten, regionerna eller kommunerna. Det gäller till exempel utbyggnaden av 5G-infrastrukturen.

Herr talman! Samhällets motståndskraft avgörs inte längre enbart av militär förmåga. I dag riktas konflikter även mot vårt moderna samhälle – mot våra digitala system, våra myndigheter, våra företag och vår infrastruktur. Det är angrepp som ofta sker i det tysta men vars konsekvenser är lika förödande som om någon hade slagit sönder vår fysiska infrastruktur.

Vi ser hur angripare försöker lamslå verksamheter som utgör fundamentet i vårt samhälle. I dag måste vattenförsörjningen, sjukvården, energisystemen och transporterna tåla påfrestningar som för bara några år sedan hade uppfattats som helt otänkbara.

I en tid då digitala angrepp kan bli systemhotande behöver Sverige ett starkare skydd än det vi har i dag. Den nya cybersäkerhetslagen är därför inte bara en teknisk justering eller en anpassning till EU-regler. Den är helt avgörande för att stärka Sveriges totalförsvar.

För Liberalerna är cybersäkerhet också en fråga om att värna om själva samhällsbygget. Ett fritt land ska inte bara ha militära muskler utan måste också kunna leverera välfärd, rättsstat och trygghet i vardagen. Det är en förutsättning för att människor ska kunna leva fria och självständiga liv i ett fritt samhälle.

Herr talman! Det gäller inte minst skolan. Vi liberaler vill bygga en skola i världsklass som både utjämnar livschanser och säkrar Sveriges framtid som en stark kunskapsnation. Det kräver dock att systemen bakom skolan fungerar – att elevers uppgifter skyddas och att digitala tjänster är trygga att använda. En modern skola kan inte stå och falla med bristande cybersäkerhet.

År 2025 verkar bli ett dystert men tydligt exempel på hur sårbart vårt digitala ekosystem är. Vi har tyvärr fått se konkreta fall där barn och elever drabbats direkt av cyberangrepp.

I augusti utsattes systemleverantören Miljödata för en massiv ransomwareattack. Företaget tillhandahåller it-system till omkring tvåhundra kommuner och regioner. Angreppet slog ut personalsystem, försvårade den kommunala verksamheten och riskerar att ha exponerat känsliga uppgifter om kommunanställda, elever och tidigare anställda.

Det är svårt att tänka sig en tydligare illustration av hur ett enda angrepp mot en central leverantör kan få enorma följdeffekter i stora delar av den offentliga sektorn. Detta är den nya verkligheten och en tydlig signal om hur sårbara vi är när centrala noder i vår digitala infrastruktur träffas.

Herr talman! Cyberangreppen blir alltmer sofistikerade, och konsekvenserna blir alltmer allvarliga. Den tekniska utvecklingen inom artificiell intelligens och kvantdatorer kommer att förändra hotbilden i grunden. Det vi står inför är inte bara fler attacker, utan attackerna blir också allt snabbare, mer avancerade och betydligt svårare att upptäcka än tidigare.

Angreppen kommer från kriminella nätverk och från statligt understödda grupper, aktörer som vill destabilisera och underminera tilliten till vårt samhällsbygge.

När det gäller Ryssland vet vi att deras syn på oss är att konflikten redan pågår på alla arenor utom den öppet militära – ekonomiskt, psykologiskt, informationsmässigt och i den digitala domänen. Därför måste Sverige täppa till hålen och bygga en motståndskraft som håller både tekniskt, organisatoriskt och juridiskt.

Herr talman! Den lag vi nu beslutar om gör allt detta. Den ställer tydliga och höga krav på säkerhetsåtgärder. Den inför snabb och strukturerad incidentrapportering. Den lägger ett direkt ansvar på ledningarna i såväl privat som offentlig sektor, ett ansvar som inte kan delegeras bort. Den innebär att våra myndigheter får bättre verktyg att agera när systemen brister. Det införs också sanktionsmöjligheter som är både proportionerliga och avskräckande.

Cybersäkerhet är i dag en av de viktigaste komponenterna för ett fritt, öppet och framgångsrikt Sverige. Det handlar om att skydda vårt samhälle, vår demokrati och våra medborgare. Det handlar vidare om vår förmåga att stå emot dem som vill destabilisera, splittra eller skada oss. Lagen gör Sverige säkrare; den stärker vårt totalförsvar, och den stärker vår demokrati.

Herr talman! Innan jag yrkar bifall till förslaget i betänkandet vill jag rikta mig till talmannen och önska talmannen, talmanspresidiet och all personal i demokratins boning som varje dag underlättar för oss i riksdagen att göra vårt arbete en riktigt god och skön jul när den närmar sig. Jag vill självklart också rikta mig till mina kollegor i försvarsutskottet och även önska er en riktigt härlig jul. Så ses vi på barrikaderna utvilade och med kämpalust.

Herr talman! Jag önskar bifall till förslaget i betänkandet och avslag på samtliga reservationer.

(Applåder)

Herr talman! Vi utsätts dagligen för attacker i cyberdomänen, och medan vi står här och debatterar blir någon, något företag eller någon organisation utsatt. Det är en ny verklighet som vi behöver förbereda oss väl för.

Centerpartiet välkomnar att regeringen har lämnat förslag om en ny cybersäkerhetslag. Även om lagen är efterlängtad vill Centerpartiet framföra ett antal synpunkter. Centerpartiet efterlyser mer tydlighet vad gäller ledningens ansvar för att cybersäkerheten i en verksamhet lever upp till lagens krav. Enligt NIS 2-direktivet, en av orsakerna till lagen, skulle ledningen inom enskilda verksamheter få ett personligt ansvar för överträdelser av kraven på säkerhetsåtgärder. Detta saknas i cybersäkerhetslagen och har i praktiken ersatts av ett krav på att ledningen ska utbildas.

Denna förändring medför kraftigt minskade krav på ledningen i utpekade och för samhället kritiska organisationer. Tydlighet och ansvar är A och O.

Herr talman! Flera remissinstanser har påpekat brister i den föreslagna lagen när det gäller vilka företag eller aktiviteter som verkligen kommer att påverkas. För många aktörer kan den nya lagen tydligt omfatta en del av verksamheten, medan andra delar inte är relevanta. Det bör förtydligas hur lagen ska tolkas och om det endast är de delar av verksamheten som påverkar säkerheten i relevanta tjänster som ska omfattas. Dagens otydlighet kan skapa stora problem för mindre företag, exempelvis inom de gröna näringarna, vilket LRF har varit noga med att påpeka.

Regeringens förändringar på cyberområdet skapar inte optimala förutsättningar för att stärka motståndskraften hos svenska företag och mindre organisationer. Centerpartiet anser att regeringen bör återkomma med klargöranden i dessa frågor för att undvika orimliga krav på mindre företag och organisationer.

I regeringens förslag till cybersäkerhetslag finns möjlighet att ta ut sanktionsavgifter vid överträdelser. Enligt förslaget kan sanktionsavgiften bestämmas till högst 10 miljoner euro för företag respektive 10 miljoner kronor för 20 offentliga organisationer. Det är en kraftig differens i bötesbeloppet som tillsammans med otydligheten om när sanktioner kan bli aktuella skapar risk för orimliga skillnader mellan olika organisationsformer.

Centerpartiet anser att man bör se över sanktionsavgifternas utformning för att säkerställa att de är rimliga, proportionerliga och förutsägbara, särskilt för de mindre verksamheterna. Centerpartiet anser också att lagen missar att harmonisera sanktionsavgifternas storlek mellan cybersäkerhetslagen och säkerhetsskyddslagen, vilket kan skapa ojämlik behandling och osäkerhet. Centerpartiet anser vidare att regeringen bör återkomma till riksdagen med förslag i denna riktning.

Herr talman! Det bör vidare klargöras vilka myndigheter som ansvarar för tillsyn och tillämpning av cybersäkerhetslagen respektive säkerhetsskyddslagen. Vidare bör man säkerställa samordning mellan de båda regelverken för att undvika att flera myndigheter har överlappande tillsyn och att samma typ av överträdelse leder till olika sanktioner beroende på vilket regelverk den hanteras under. Regeringen måste också tydliggöra myndigheternas ansvar genom kravställningar i regleringsbrev och i instruktioner till myndigheterna.

En majoritet av Sveriges företag påpekar att de behöver ökat stöd och information från myndigheter för att skapa den höga nivå av cybersäkerhet vi alla vill se. Denna lag är inget undantag och riskerar att bidra till ökad osäkerhet. Det behövs en nationellt samordnad tillsynsmodell där roller och ansvar förtydligas. Centerpartiet anser därför att en nationell koordineringsmekanism för tillsyn och kunskapsdelning bör införas, så att om en myndighet utövat tillsyn över en verksamhet kan andra tillsynsmyndigheter också ta del av den.

Finansiering och stöd till mindre aktörer som inte tidigare omfattats av liknande lagstiftning behövs om det ska vara möjligt att leva upp till lagen i tid. Alternativt anser Centerpartiet att det finns behov av ett stegvis införande av lagen så att mer tid ges till de organisationer som inte har så stora resurser och kompetens på området. Det är särskilt relevant för mindre företag och organisationer.

Avslutningsvis, herr talman, vill jag yrka bifall till Centerpartiets reservation nummer 2. Jag vill också tillönska talmannen, ledamöter och ersättare i försvarsutskottet samt försvarsutskottets kansli en riktigt god jul och ett gott nytt år.

(Applåder)

Herr talman! EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom EU, det så kallade NIS 2-direktivet. Till följd av bland annat detta har regeringen föreslagit att det ska införas en ny cybersäkerhetslag i Sverige.

Vi från Miljöpartiet välkomnar i allt väsentligt detta förslag från regeringen som ett viktigt steg för att stärka motståndskraften mot cyberhoten. I en tid av ökade säkerhetspolitiska spänningar där hybridhot, till exempel cyberattacker, sabotage och påverkansoperationer, är en del av vardagen är ett starkt systematiskt cybersäkerhetsarbete helt avgörande. Det innebär ett stort hot mot Sverige med alla dessa ofantligt många cyberattacker som varje dag drabbar vår it-miljö. De drabbar banker, sjukhus och diverse företag, och de påverkar i allt väsentligt vår vardag mer och mer. Det gör också att arbetet måste bli mer systematiskt och mer sammanfogat.

Den nya lagen innebär att alla offentliga och enskilda verksamhetsutövare inom vissa utpekade sektorer ska vidta åtgärder för att skydda sina nätverks- och informationssystem samt rapportera betydande incidenter.

Regeringen har själv konstaterat att dessa nya regler kommer att kosta pengar. Ett stort antal remissinstanser har påpekat att dagens genomförande riskerar att bli mycket kostsamt, särskilt för kommuner och regioner som redan i dag befinner sig i ett ekonomiskt kärvt läge. Därför vill vi från Miljöpartiet understryka vår oro för finansieringen av den nya lagen. Även om regeringen har aviserat ökade generella statsbidrag för nästa år för att bland annat genomföra lagen är det osäkert om dessa medel kommer att vara tillräckliga för kommuner och regioner, särskilt med tanke på de många andra krav som åläggs sektorn i totalförsvarsutbyggnaden. Detta är oroväckande.

Herr talman! Kommuner och regioner är centrala aktörer i det civila försvaret. Det är därför orimligt att staten inte samtidigt säkerställer att de har ekonomiska förutsättningar för att säkra välfärden och fullfölja de uppgifter som följer med totalförsvarsutbyggnaden. Miljöpartiet anser därför att regeringen bör återkomma med en fördjupad analys av de ekonomiska konsekvenserna för den offentliga sektorn.

Herr talman! Den andra punkten jag vill lyfta upp i denna debatt gäller flera remissinstansers kritik gällande vilka företag eller aktiviteter som verkligen kommer att påverkas. Denna otydlighet kan skapa stora problem för till exempel mindre företag och organisationer. Det skapar inte de optimala förutsättningarna för att stärka motståndskraften. Miljöpartiet har därför en gemensam reservation i denna fråga med Centern och Vänsterpartiet, nummer 3 i betänkandet.

Herr talman! Jag står givetvis bakom Miljöpartiets alla yrkanden, men för tids vinnande yrkar jag bara bifall till reservation 1 under punkt 2.

Överläggningen var härmed avslutad.

(Beslut fattades under § 17.)