Debatt: Ingen cybersäkerhet i EU utan kommunerna
Pehr Granfalk (M) 5 december 2023Cyberattacker är ett växande hot och det är absolut nödvändigt att EU stärker sitt digitala försvar. Men om inte regionernas och kommunernas perspektiv beaktas kommer tyvärr kommissionens insatser för en stark cybersäkerhet i EU att hindras från att uppnå de verkliga målen och ambitionerna. Det skriver Pehr Granfalk (M), ledamot i Europeiska regionkommittén, ReK.
Cyberattacker är ett växande hot i dagens digitala samhälle, med allt fler och alltmer sofistikerade attacker. Attackerna är inte längre begränsade till den geopolitiska sfären – de inkräktar på vardagslivet. I takt med att det digitala slagfältet växer är det absolut nödvändigt att EU stärker sitt digitala försvar.
Med tanke på hur akut situationen är har EU-kommissionen föreslagit omfattande lagstiftning, den så kallade cybersolidaritetsakten. Förslaget omfattar en europeisk cybersköld, bestående av säkerhetscentrum som är sammankopplade i hela EU, och en övergripande cyberkrismekanism för att förbättra EU:s säkerhetsstatus. Dock saknas en viktig pusselbit – de lokala och regionala myndigheternas perspektiv, i synnerhet deras befogenheter och gräsrotsperspektiv.
De lokala myndigheterna utgör en måltavla för cyberbrottslingar på grund av sin sårbarhet och de utbredda effekterna av intrång i deras system. Det är oroväckande hur enkelt hackare kan tränga in i lokala system och störa vardagslivet. Dessutom urholkar dessa attacker förtroendet för det lokala styret, vilket kan vara en illasinnad baktanke.
För att se till att EU:s cybersäkerhetsinsatser verkligen är robusta har jag i egenskap av medlem av Europeiska regionkommittén, ReK, utarbetat ett yttrande som ska läggas fram för Europaparlamentet, rådet och kommissionen själv. Men varför bör de lokala myndigheterna befatta sig med denna fråga? Svaret är enkelt: de befinner sig i frontlinjen och utsätts för oupphörliga attacker!
400 attacker varje vecka mot svenska kommuner
Antalet orapporterade cyberincidenter på lokal och regional nivå är skrämmande. Enbart i Sverige uppskattar större kommuner att de drabbas av omkring 400 attacker varje vecka.
I början av september 2023 drabbades Munkfors kommun av en it-attack som i stort slog ut kommunens hela it-system. Flera veckor efter attacken hade inte alla system återställts. Det är hög tid att kommunerna kan använda en betrodd kanal för att sprida denna information.
Eller låt mig nämna en annan attack mot en leverantör av trygghetslarm i 150 svenska kommuner den 23 mars 2023. Här skulle det ha varit värdefullt att ha en funktion som leverantörerna också kunde använda och att höja hot-/risknivån kring angrepp med utpressningsprogram under perioden.
Dessutom visar en färsk studie från Europeiska regionkommittén att dessa attacker har spridningseffekter som påverkar större system högre upp i hierarkin.
I den årliga rapporten om tillståndet i Europeiska unionens regioner och kommuner 2023 påpekas också att Europeiska unionens cybersäkerhetsbyrå (Enisa) har identifierat och rangordnat de tio största cybersäkerhetshot som kommer att uppstå fram till 2030, bland annat ”riktade attacker som förstärks av data från smarta enheter” och ”fler avancerade hybridhot”. Av denna ”barometer” bland EU:s regioner och kommuner framgår att de lokala och regionala myndigheterna bör få stöd att fastställa sina egna styrningsmodeller för digital resiliens, på grundval av deras ekonomiska kapacitet och/eller personalkapacitet samt regionens eller kommunens storlek.
Skapa en enad front
Det behövs en enad front, där medlemsstaterna, kommissionen och de lokala myndigheterna samarbetar för att öka medvetenheten och vidta åtgärder. För detta krävs finansiella investeringar, teknisk expertis samt insatser för kapacitetsuppbyggnad och kompetenshöjning.
För att undvika att lokala myndigheter förblir sårbara är det viktigt att de uttryckligen inkluderas i cybersolidaritetsakten, oavsett deras NIS2-status. En heltäckande inblick i EU:s cybersäkerhetslandskap förutsätter sammanställning av information, riskbedömningar och incidentrapporter från lokala och nationella källor.
Det finns stora skillnader i cybersäkerhetsmognaden mellan – och till och med inom – länderna. Att överbrygga dessa klyftor och sörja för lika kapacitet och ambitioner hos alla aktörer är ett av de främsta målen med den föreslagna förordningen.
Även om det är mycket viktigt med informationsutbyte, måste det stå i proportion till incidenternas omfattning och de potentiella riskerna.
Cybersäkerhetsincidenter inbegriper känslig information, och nödvändiggör ofta utbyte av tekniska detaljer och till och med personuppgifter. Det är av största vikt att man ser till att alla parter i EU:s cybersköld har den rättsliga och tekniska kapacitet som krävs för informationsutbytet.
Regionskommittén varnar för att överbelasta organisationerna, och betonar behovet av konkreta verktyg och tydligt fastställda metoder.
Om inte regionernas och kommunernas perspektiv beaktas kommer tyvärr kommissionens insatser för en stark cybersäkerhet i EU att hindras från att uppnå de verkliga målen och ambitionerna.
Pehr Granfalk (M)
Ledamot i Europeiska regionkommittén, ReK.