En hel del kritik
Detta hände alltså knappt två månader innan Nationellt cybersäkerhetscenter (NCSC) vid Försvarets radioanstalt (FRA) från 1 juli tar över MCF:s uppgifter enligt cybersäkerhetslagen, däribland uppdraget att ta fram föreskrifter.
Många minns nog det utkast till föreskrifter som remitterades under hösten 2025, som möttes av en hel del kritik. Förhoppningar fanns att MCF skulle ha tagit till sig av synpunkterna.
Tittar man på de nya föreskrifterna är det också tydligt att MCF har tagit intryck av höstens kritik. MCF beskriver själv att remissvaren innehöll ”motsatta och oförenliga önskemål” och lett till ”mer genomgående justeringar”.
Om vi börjar med att sammanfatta höstens förslag och synpunkterna som kom: Föreskrifterna som presenterades i höstas var omfattande och detaljrika. Förslaget reglerade inte bara att verksamhetsutövare skulle bedriva ett systematiskt cybersäkerhetsarbete, utan också hur verksamhetsutövarna skulle utforma sina styrdokument, vilka beslut ledningen skulle fatta, hur roller skulle fördelas, hur informationsklassning skulle göras och hur tekniska åtgärder som segmentering, flerfaktorsautentisering, loggning, kryptering, säkerhetskopiering, uppdatering, fysisk säkerhet och kriskommunikation skulle hanteras. Kritik mot föreskrifternas ”detaljrikedom” kom från både näringsliv och offentliga aktörer.
Lämpliga och proportionella
För att förstå kritiken är det bra att ha i bakhuvudet att NIS2-direktivet och cybersäkerhetslagen stadgar att verksamhetsutövare ska vidta ”lämpliga och proportionella” säkerhetsåtgärder, som ska ”utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken” – vilket ju innebär att alla inte ska göra precis samma sak. Extra viktigt att ta fasta på detta blir det när reglerna träffar väldigt många aktörer spridda över 18 sektorer, med helt olika skyddsvärde och förutsättningar att jobba med säkerhetsfrågor.
Svenskt Näringsliv menade att förslaget gick längre än vad cybersäkerhetslagen krävde, och varnade för svensk överimplementering, ökade kostnader och ett regelverk som riskerade att bli mer administrativt än riskreducerande. Organisationen pekade särskilt på att detaljerade krav borde flyttas till allmänna råd och att myndigheten inte borde föreskriva hur företagsledningar organiserar ansvar och roller. Enligt Svensk Dagligvaruhandel innebar förslaget för att säkerhetsarbetet skulle bli statiskt och alltför dokumentationsdrivet.
Trafikverket varnade för dubbelreglering, bristande samordning med befintliga regelverk och svårigheter att förena ett riskbaserat synsätt med tvingande detaljkrav. Trafikverket ifrågasatte också kraven på roller, eftersom många organisationer redan har etablerade ledningssystem. SUHF, Sveriges universitets- och högskoleförbund, betonade att hög detaljnivå riskerar att dra resurser från faktiskt riskreducerande arbete till formell regelefterlevnad. Försäkringskassan ifrågasatte om det ens fanns rättsligt stöd för att i föreskrifter reglera ledningens ansvar på det sätt som föreslogs.
Ett knappt halvår senare kan vi välkomna det nya förslaget
MCF har lyssnat på kritiken och tagit bort många av detaljkraven. Många krav har dock inte försvunnit, utan MCF har flyttat många detaljerade krav från bindande föreskrifter till allmänna råd. De nya förslagen innehåller dock väsentligt färre krav: Omräknat till en kravlista är de faktiska kraven i föreskrifterna ungefär hälften så många i de nya föreskrifterna jämfört med de gamla. Samtidigt är de gamla och nya föreskrifterna precis lika långa, 26 sidor. Det beror på just det att man i stället valt att bygga ut den icke-bindande delen av föreskrifterna, de allmänna råden. MCF:s uppdrag är fortfarande att komma med mer detaljerade föreskrifter om hur de övergripande kraven i cybersäkerhetslagen ska tillämpas, och därför måste förstås vissa konkreta krav komma till uttryck, även om man kan diskutera detaljnivån.
Låt oss titta på kraven på interna regler, dvs. ledningssystemen där organisationer har sina styrdokument. I det gamla förslaget fanns detaljerade föreskrifter om vad interna regler skulle innehålla och krav på bevarande av dokumentation i minst fem år. I det nya förslaget anges i stället mer övergripande att verksamhetsutövaren ska fastställa de interna regler som behövs, kommunicera dem, hålla dem aktuella och identifiera behov av dokumentation för uppföljning och tillsyn.
Samma förflyttning syns i regleringen av ledningens ansvar. Det gamla förslaget krävde bland annat att ledningen skulle besluta om mål, roller, resurser, riskacceptansnivåer, acceptabla avbrottstider och återställningsprioritering. Den detaljerade listan har utgått, men många delar finns nu i de allmänna råden. Även utbildningsregleringen har justerats: det gamla förslaget hade mer detaljerade krav på ledningens utbildning, medan det nya lägger större vikt vid att ledningen ska ha sådan kunskap och kompetens som krävs för att kunna styra, bedöma och följa upp cybersäkerhetsarbetet. Kan du gissa var detaljer om innehållet i utbildningen beskrivs? Just det, i allmänna råd.
Informationsklassning är ett annat exempel. Det gamla förslaget innehöll detaljerade föreskriftskrav om klassningens ansvar, kriterier och uppföljning. I det nya förslaget finns fortfarande krav på att identifiera konsekvenser för konfidentialitet, riktighet och tillgänglighet, men mer av metodiken återfinns i allmänna råd. Detsamma gäller fysisk säkerhet, där detaljer om skalskydd och särskilda utrymmen för servrar och nätverksutrustning nu finns som allmänna råd.
En del remissynpunkter avseende de nya föreskrifterna finns nu tillgängliga. På ett övergripande plan tycker många att den nya ansatsen är bättre. Samtidigt kommer kritik mot att de allmänna råden nu är för detaljerade, och att vissa krav på bl.a. tekniska åtgärder fortfarande är för stela. Lif (Läkemedelsindustriföreningen) välkomnar att stora delar av detaljregleringen har flyttats till allmänna råd, men menar att föreskrifterna fortfarande innehåller detaljer om arbetssätt och tekniska lösningar som riskerar att styra mot formell efterlevnad snarare än effektiv cybersäkerhet. Det finns dock de som är av motsatt uppfattning, såsom CSN och Utbetalningsmyndigheten som för fram att för många krav har flyttats till allmänna råd, vilket riskerar att leda till att viktiga åtgärder nedprioriteras. Riksgälden passade på att märka ord (dvs. anmärka på formuleringar och efterfråga en ”harmonisering med upphandlingsregelverken”). Messerschmidt.
Ett tappert försök
Sammantaget kan man konstatera att MCF har gjort ett tappert försök att möta kritiken mot höstens förslag. Det nya förslaget är mindre kategoriskt och dokumentationsdrivet. Konkreta justeringar syns särskilt i reglerna om kravet på detaljinnehåll i ledningssystem och styrdokument, ledningens beslut, utbildning, informationsklassning, fysisk säkerhet och kriskommunikation. De nya reglerna innebär mer svängrum för verksamhetsutövare att utforma sitt säkerhetsarbete efter verksamheten på ett riskbaserat och proportionerligt sätt, dvs. mer i enlighet med tanken bakom NIS2. Det finns fortfarande delar som är lite väl detaljerade, och man kan fråga sig om de allmänna råden bör byggas ut med fler exempel på olika sätt att efterleva kraven, så att det inte blir statiskt. En mall passar inte för alla, och med de nya föreskrifterna kommer vi en bra bit mot att möjliggöra för verksamhetsutövare att arbeta med säkerhetsfrågor på ett mer verksamhets- och verklighetsanpassat sätt.
I vilket fall blir den fortsatta hanteringen FRA:s huvudvärk, medans MCF kan andas ut. Det blir spännande att se hur FRA tar sig an den otroligt viktiga rollen som den enskilt viktigaste myndigheten för cybersäkerhetsansatserna i Sverige.