Cybersäkerhet

Företagen fortsätter att göra stora investeringar i att skydda sina system, men för att hantera omfattningen och komplexiteten hos dagens hot krävs det att myndigheterna spelar en avgörande roll. De kan avskräcka från skadlig verksamhet, se till att lagarna tillämpas konsekvent och samarbeta med den privata sektorn för att förutse hot och samordna insatser. Genom att sammanföra myndigheternas och den privata sektorns respektive expertis skapas förutsättningar för att utveckla gemensamma förväntningar och mer kompatibla säkerhetskrav – vilket i sin tur minskar risken för fragmentering av regelverket, stärker motståndskraften inom kritiska sektorer och bygger förtroende för digitala ekosystem.

Kritisk infrastruktur – från elnät och vattensystem till finanssektorn, hälso- och sjukvården och försörjningskedjor – utsätts i allt högre grad för sofistikerade cyberhot. För att skydda dem krävs inte bara kraftfulla åtgärder från myndigheternas sida, utan också ett nära samarbete med de operatörer som sköter driften av dessa system dagligen. Myndigheterna bör anta riskbaserade cybersäkerhetsstandarder som är anpassade till globala bästa praxis – och undvika alltför rigida efterlevnadsmodeller som kan hämma öppenhet eller innovation. Normativa krav som inte speglar de föränderliga hoten eller de operativa realiteterna kan avskräcka företag från att frivilligt dela information om incidenter eller sårbarheter och begränsa deras förmåga att vara innovativa när det gäller att införa mer effektiva säkerhetslösningar.

Utöver lagstiftning måste myndigheter och operatörer aktivt stödja varandra genom informationsutbyte, samordning av insatser vid incidenter och övningar med ”red team” som simulerar verkliga attacker. Cybersäkerhet för kritisk infrastruktur kan inte uppnås enbart genom lagstiftning. Den måste upprätthållas genom ett kontinuerligt samarbete, gemensam beredskap och delat ansvar.

Cyberhot känner inga gränser. För att kunna hantera dem på ett effektivt sätt måste regeringarna fördjupa det internationella samarbetet och tillämpa överenskomna normer för ansvarsfullt statligt agerande. Befintliga internationella normer – däribland de som utarbetats av Förenta nationerna – utgör en solid grund. Dessa åtaganden bidrar dock endast till ökad säkerhet om de omsätts i praktiken. Regeringarna måste samarbeta för att utbyta aktuell information, samordna insatser vid allvarliga incidenter och förbättra det rättsliga biståndet på ett sätt som respekterar rättigheter och främjar förtroende.

Samtidigt bör det internationella samarbetet mot cyberbrottslighet inriktas på praktiska operativa åtgärder – däribland snabb och säker informationsutbyte mellan behöriga myndigheter, effektiva mekanismer för gränsöverskridande utredningssamarbete samt kapacitetsbyggande initiativ som stärker den tekniska och institutionella kapaciteten i olika jurisdiktioner – i stället för alltför omfattande eller otydligt formulerade avtal som kan äventyra de mänskliga rättigheterna eller störa näringslivet.

Att sammanföra myndigheter, näringslivet, det civila samhället och tekniska experter är avgörande för att göra cybersäkerhetspolitiken både trovärdig och genomförbar. Ett inkluderande samarbete säkerställer att politiken bygger på tekniska realiteter, tar hänsyn till samhällets behov och anpassas efter ekonomiska krav.

Regeringarna bör gå längre än enstaka samråd och integrera icke-statliga aktörer i hela beslutsprocessen – från utformning till genomförande och utvärdering. På internationell nivå bidrar processer med flera intressenter också till att stärka legitimiteten och skapa ett bredare stöd, vilket är avgörande för att hantera gränsöverskridande utmaningar som cyberbrottslighet. Däremot riskerar rent mellanstatliga processer att leda till stela och opraktiska resultat som inte tillgodoser det digitala ekosystemets behov.