Leveranskedjan har blivit en nationell cybersäkerhetsfråga

Den 5 mars publicerade regeringen en uppdaterad handlingsplan för Nationell strategi för cybersäkerhet 2025–2029 (Skr. 2024/25:121). Antalet aktiviteter utökades från 72 till 91 för att möta förändrade hot, nya EU-regelverk och behovet av stärkt nationell cybersäkerhet. Strategin i sig är oförändrad, men genomförandet har skärpts.

Strategin är ambitiös. Den utgår från NIS 2-direktivets allriskperspektiv, identifierar ett brett spektrum av hot och sårbarheter och formulerar 13 mål under tre pelare. Att handlingsplanen redan har uppdaterats visar att regeringen vill att strategin ska vara ett levande dokument.

Strategin identifierar sårbarheterna

Avsnitt 3.9 i strategin, Sårbara leveranskedjor, beroenden och produkter, innehåller en tydlig beskrivning av de sårbarheter som leverantörsberoenden medför. Regeringen konstaterar att brister i leverantörers cybersäkerhet kan spridas till kundorganisationer och att organisationer som inte vägt in sådana beroenden i sina riskanalyser ofta saknar alternativ om en leverantör fallerar.

Strategin lyfter också koncentrationsrisk. När många organisationer är beroende av samma tjänst eller system, i en oligopol- eller monopolsituation, minskar flexibiliteten. Möjligheten att byta till alternativa tjänster under en pågående incident blir då begränsad eller obefintlig.

Strategin pekar också uttryckligen ut beroenden av digitala tjänster och produkter från organisationer baserade i tredjeland som potentiellt olämpliga och som sårbarheter som kan användas som politiskt påtryckningsmedel. Det gör tredjelandsberoenden till en uttalad del av den nationella riskbilden.

Strategisk tydlighet, men operativa frågor kvarstår

Strategins mål 4 handlar om robustare digitala leveranskedjor och minskat beroende. Det ligger under pelaren Systematiskt och effektivt cybersäkerhetsarbete. Riktningen är välmotiverad.

Strategin pekar ut att incidenter i leveranskedjor kan spridas och orsaka störningar i samhällskritiska funktioner. Den konstaterar också att dagens komplexa beroenden gör det svårt att kartlägga sårbarheter. Samtidigt ställer Cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026, krav på riskbaserade och proportionella cybersäkerhetsåtgärder, där säkerhet i leveranskedjan uttryckligen ingår.

Mellan strategins riktning, lagens krav och den praktiska verkligheten finns dock fortfarande ett glapp. MCF:s föreskriftsarbete fyller nu delvis det glappet genom att konkretisera krav på processer, dokumentation, uppföljning och leverantörsstyrning. Men även med mer detaljerade föreskrifter återstår svåra frågor, inte minst kring jurisdiktionsbedömningar, tredjelandsberoenden och koncentrationsrisk på systemnivå. För många organisationer är kärnfrågan fortfarande densamma: hur ska kraven faktiskt uppfyllas i praktiken?

Tredjelandsberoenden kräver mer än principer

Det som gör strategins formulering om tredjeland särskilt intressant är att den implicit erkänner att digital suveränitet inte bara är en handelspolitisk fråga. Det är också en säkerhetsfråga.

Många svenska organisationer inom kritisk infrastruktur, som myndigheter, regioner, energibolag och finansiella institutioner, använder i dag it-tjänster som ytterst kontrolleras av bolag under amerikansk, kinesisk eller annan tredjelandsjurisdiktion. Det gäller molntjänster, driftplattformar, säkerhetslösningar och kommunikationsverktyg, ofta genom flera led av underleverantörer.

Enligt exempelvis CLOUD Act kan amerikanska myndigheter under vissa förutsättningar kräva ut data från amerikanska bolag oavsett var datan lagras. Det är inte en teoretisk risk, utan en juridisk realitet.

Strategin konstaterar att sådana beroenden kan användas som politiskt påtryckningsmedel. Men det operativa arbetet med att identifiera var dessa beroenden faktiskt finns, och att följa dem när ägarstrukturer förändras, underleverantörer byts ut eller dataflöden omdirigeras, faller i stor utsträckning på organisationerna själva. Det kräver metoder och verktyg som varken strategin eller lagen i sig fullt ut tillhandahåller.

Det som återstår

Strategin har satt riktningen och identifierat sårbarheterna. MCF:s föreskriftsarbete fyller dessutom en del av det tidigare operativa glappet mellan strategi och lag genom att konkretisera krav på säkerhetsåtgärder, dokumentation, uppföljning och leverantörsstyrning. Det finns dock fortfarande behov av praktisk vägledning och gemensamma arbetssätt inom åtminstone fyra områden.

Leverantörskartläggning. I komplexa kedjor blir frågor om underleverantörer, databehandlingsplatser, ägarstrukturer och jurisdiktionsexponeringar snabbt svåröverskådliga.

Löpande övervakning. Leveranskedjor är dynamiska, och formella uppföljningstillfällen räcker inte alltid för att fånga förändringar i tid.

Koncentrationsrisk som tillsyns- och beredskapsfråga. När flera samhällskritiska organisationer är beroende av samma leverantör uppstår en systemfråga som inte kan lämnas till varje enskild organisation att hantera ensam.

Metod för jurisdiktionsbedömning. Strategin nämner tredjelandsrisker, men organisationer behöver också kunna bedöma betydelsen av moderbolagets hemvist, utländsk lagstiftning, dataåtkomstregimer och avtalsstrukturer på ett systematiskt sätt.

Från strategi till tillämpning

Uppdateringen av den nationella strategin för cybersäkerhet är välkommen och nödvändig. Att risker i leverantörskedjor, såsom tredjelandsberoenden och koncentrationsrisker, lyfts i en statlig strategi är betydelsefullt. Det signalerar att regeringen ser dessa frågor som nationella säkerhetsfrågor, inte bara efterlevnadsfrågor. Att handlingsplanen redan uppdaterats med skärpta aktiviteter visar dessutom att arbetet inte stannat vid en skrivelse.

MCF:s föreskriftsarbete är ett viktigt steg i att konkretisera lagens krav. Men även med mer detaljerade föreskrifter återstår frågor om hur kraven ska omsättas i praktiken. Det är där fortsatt vägledning, branschpraxis och metodutveckling behövs.