With a deteriorating security situation, new EU legislation is being adopted to strengthen preparedness and resilience in EU Member States. Highlighting the consequences for Sweden, Katarina Engberg (senior advisor at SIEPS) argues that this will require a complex coordination in terms of implementing both EU and national legislation. Swedish local authorities are also set to play a central role, as they are responsible for sectors that are critical for preparedness and civil defence.
Den 15 januari 2026 träder en ny svensk cybersäkerhetslagstiftning i kraft. Den bygger bland annat på EU:s NIS2-direktiv med målet att uppnå större cybersäkerhet i unionen. I budgetpropositionen anslås en dryg miljard under åren 2026–2028 till förstärkning av cybersäkerheten. Pengarna fördelas mellan det nationella säkerhetscentret (NCSC), regionerna och kommunerna.
Nu är mer EU-lagstiftning på gång, närmast i form av CER-direktivet som gäller motståndskraft i så kallade kritiska entiteter. Bland berörda sektorer nämns energiförsörjning, hälsa, vård och omsorg. EU-lagstiftningen ligger i framkant och blir en del av det omfattande arbete som pågår för att anpassa svensk lagstiftning för krisberedskap och civilt försvar till ett försämrat säkerhetsläge.
Cyberangreppen på offentliga aktörer visar på sårbarheten i IT-systemen. Nyligen gällde det kommuner sedan en dataleverantör hackats. NIS2-direktivet innebär att man gör riskanalyser och identifierar sårbarheter, en vanlig metod i beredskapsarbete. Incidenter ska rapporteras nationellt och till EU-kommissionen om de anses vara av systemkaraktär för unionen, exempelvis för att flera medlemsstater berörs.
Arbetet med beredskap i EU har sin grund i de delar av fördragen som definierar detta som ett område där befogenheterna är delade mellan medlemsstaterna och unionen. Det innebär att fastställda mål ska uppnås, men att medlemsstaterna har betydande frihet när det gäller att omvandla direktiven till nationell lagstiftning, exempelvis för att fastställa sanktioner. I den kommande cybersäkerhetslagen anges således ett spann mellan 5 000 och 10 miljoner kronor på det vite som kan utdömas.
CER-direktivet har sin grund i EU:s tidigare arbete med skydd av kritisk infrastruktur. I direktivet sägs att kritiska entiteter tillhandahåller samhällsviktiga tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet. De sektorer som nämns är energiförsörjning, finansiella tjänster, hälsa, vård och omsorg, livsmedelsförsörjning, dricksvatten och transport samt vissa delar av offentlig förvaltning, industri och forskning.
Medlemsstaterna ska förebygga, motstå och hantera störningar eller avbrott i verksamheten, oavsett vad som har förorsakat dessa. Rent konkret innebär det att de ska ta fram en nationell strategi, göra en nationell riskbedömning, identifiera relevanta aktörer, utse myndighetsansvar samt vidta åtgärder för att säkerställa motståndskraft i den samhällsviktiga verksamheten. Precis som för NIS2-direktivet ska verksamhet som anses vara av systemkaraktär för unionen följas upp på EU-nivå och få stöd av kommissionen.
Detta arbete överlappar med Natos så kallade sju krav på grundläggande förmågor i fråga om nationell resiliens. Medan genomförandet i huvudsak är en nationell angelägenhet inom Nato, har EU via lagstiftning en direkt påverkan på detta. Behovet av samordning mellan EU och Nato är uppenbart.
Cybersäkerhetslagen träder i kraft i början av nästa år medan arbete pågår i Regeringskansliet för att omsätta CER-direktivet i nationell lagstiftning. I båda fallen har lagstiftningen i vanlig ordning föregåtts av utredningar och lagrådsremisser.
Som en del av detta arbete ingår att definiera vem som är ansvarig för vad. I slutbetänkandet från Utredningen om genomförande av NIS2- och CER-direktiven (Motståndskraft i samhällsviktiga tjänster, SOU 2024:64) föreslås följande definition av de offentliga aktörer som berörs: ”En offentlig verksamhetsutövare är en aktör som bedriver verksamhet och är en statlig myndighet, region eller kommun.” Kommunerna har enligt lag skyldighet att tillhandahålla bland annat social omsorg, skola, vatten och avlopp, räddningstjänst, krisberedskap och civilt försvar. Man kan anta att kommunerna får en viktig roll när CER-direktivet ska införlivas med svensk lagstiftning och så småningom också bli verklighet.
Parallellt med EU:s lagstiftningsarbete pågår en översyn av den svenska lagstiftningen från 2006, det vill säga lagen om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH). Enligt denna ska kommunerna ha god förmåga att hantera fredstida kriser samt grundläggande förmåga avseende civilt försvar. Övergången mellan det ena och det andra sker genom ett regeringsbeslut om höjd beredskap då nya ledningsförhållanden, lagar, finansiering, med mera träder i kraft.
Man kan förvänta sig att kraven på kommunerna ökar vad avser förmåga till civilt försvar, liksom att gränsen mellan fredstida kriser och civilt försvar suddas ut. Det är i alla fall vad som föreslås i utredningen Kommuners och regioners grundläggande beredskap inför kris och krig som lades fram för ett år sedan. I den lanseras ett nytt läge mellan fredstida kris och krig som kallas ”kvalificerad fredstida krissituation”. Begreppet avspeglar hybridkrigföringens glidande skala mellan kris och krig. Målet är att utredningen ska omsättas i lagstiftning 2027.
Kommunerna reagerar olika på den lagstiftning för beredskap och civilt försvar som nu växer fram, bland annat för att förutsättningarna varierar beroende på om det handlar om stor-Stockholm eller en glesbygdskommun. Några väljer att gå före genom att säkerställa att den personal som behövs för att upprätthålla samhällsviktig verksamhet, som vård och omsorg, kan göra så även i ett försämrat omvärldsläge då man måste förlita sig mera på sig själv. Frystorkad mat som kan hålla i gång personalen några veckor är exempel på detta.
Under de kommande åren kommer EU att gå vidare i arbetet med att förbättra unionens beredskap. För ett år presenterades den så kallade Niinistö-rapporten Safer together: A path towards a fully prepared union. Den är till betydande del baserad på finländska erfarenheter av civilt försvar och ligger till grund för EU:s strategi för en beredskapsunion. I strategin ingår en arbetsplan för olika åtgärder som ska vidtas de kommande åren. Nästa år ska EU undersöka om det behövs ytterligare beredskapskrav och senare om det krävs en särskild beredskapslagstiftning. Gemensamma övningar ska klarlägga sårbarheter att åtgärda. Europeiska centralbanken (ECB) har uppmanat EU-medborgarna att ha 70–100 euro i kontanter, i enlighet med förslaget om att EU-medborgarna behöver klara sig själva i 72 timmar i händelse av kris.
Förslagen har upplevts som naturliga för Sverige och Finland med långvariga erfarenheter av civilt försvar. För länder som Spanien, där man vill fokusera på klimatförändringarnas konsekvenser, har det dock framstått som alarmistiskt. Att samordna krisberedskap och civilt försvar på nationell botten är ett omfattande arbete. På unionsnivå är det närmast ogörligt, men nödvändigt. Det gäller att hitta metoder som stärker beredskapen oavsett vilka utmaningar eller hot som unionen står inför, samtidigt som nationell särart respekteras.
För svensk del kommer det att ställas krav på samordning mellan den lagstiftning för beredskap som växer fram på EU-nivå och den lagstiftning för krisberedskap och civilt försvar som utvecklas till följd av återuppbyggnaden av det svenska totalförsvaret. Uppgiften kommer att bli komplicerad och sträcka sig över flera år.
Security and defence are high on the EU's agenda for the new political cycle. Katarina Engberg analyses the initiatives within the EU that point towards a total defence as well as the challenges and opportunities this brings.
Katarina Engberg January 2025