Massincidenter blottar leverantörsrisken – detta krävs av it-chefen

– När ett personuppgiftsbiträde som betjänar många aktörer drabbas får det snabbt stora konsekvenser. Ett intrång hos en sådan aktör kan påverka ett stort antal personuppgiftsansvariga samtidigt, säger Christelle Bourquin, enhetschef på IMY.

Det innebär att riskexponeringen inte enbart avgörs av den egna it-miljön. Den påverkas också av beroenden i leverantörskedjan och hur väl säkerhetskrav följs upp hos biträden och underleverantörer.

– En stor del av ökningen är kopplad till ett fåtal incidenter där många personuppgiftsansvariga har drabbats. Det förklarar dock inte hela ökningen, säger Christelle Bourquin.

Cybersäkerhetsskuld bakom sårbarheterna

Myndigheten pekar inte ut någon enskild brist som återkommer i incidenterna.

– Vi för inte statistik på den detaljnivån att vi kan peka ut en enskild typ av brist. Varje incident är unik. Men vi ser, liksom andra aktörer inom incidentrapportering, att det finns en cybersäkerhetsskuld i samhället som skapar sårbarheter.

Med det avses bland annat eftersatt uppdatering, bristande segmentering, otillräcklig övervakning och otydlig ansvarsfördelning – säkerhetsåtgärder som inte har genomförts fullt ut eller följts upp över tid.

Därför granskas inte alla incidenter

Trots rekordnivån inleder IMY inte tillsyn i varje ärende. Myndigheten gör årliga prioriteringar utifrån var insatser bedöms ge störst effekt.

– Vi gör varje år prioriteringar där vi bedömer att tillsyn och vägledning kan ge störst effekt. Det finns inget värde i att granska alla som har haft en incident. I stället fokuserar vi på typiska problemområden där vi ser återkommande brister.

En incident leder alltså inte automatiskt till granskning. Däremot kan återkommande brister, exempelvis i riskanalys eller leverantörsuppföljning, bli föremål för tillsyn.

Inför 2026 lyfter myndigheten särskilt fram barn och ungas personuppgifter, AI i offentlig sektor samt brottsbekämpande verksamhet som prioriterade områden.

– Barn och ungas personuppgifter är ett prioriterat område. Detsamma gäller AI i offentlig sektor, där utvecklingen går snabbt. Vi har också fokus på brottsbekämpning, där flera nya lagförslag börjar gälla.

Konkreta råd till it-chefen

Christelle Bourquin betonar att åtgärderna i grunden är välkända.

– Det handlar om grundläggande säkerhetsåtgärder. Säkerställ att systemen är uppdaterade och att risker analyseras löpande. Segmentera information så att inte allt lagras i samma miljö. Ha fungerande säkerhetskopiering och övervaka it-miljön så att ni snabbt kan agera. Och öva på hur ni ska hantera en incident.

För it-chefen innebär det i praktiken att:

• säkerställa att leverantörsavtal innehåller tydliga säkerhetskrav och uppföljning
• genomföra regelbundna riskanalyser och konsekvensbedömningar
• segmentera data för att begränsa spridning vid intrång
• testa incidentrutiner och återställning i praktiken