Statliga myndigheter och organisationer som omfattas av NIS-direktivet är skyldiga att rapportera it-incidenter till MSB, som sammanställer och analyserar rapporteringen. Nu är fjolårets statistik klar. Under 2023 har totalt 334 it-incidenter rapporterats till MSB från 136 olika organisationer. Det är i stort sett lika många som rapporterades under 2021 och 2022. Det som skiljer är att andelen cyberangrepp är betydligt fler och den största bakomliggande orsaken till it-incidenter under 2023. Tidigare har systemfel och misstag dominerat orsaksbeskrivningen. Närmare hälften av alla it-incidenter skedde hos en leverantör, vilket är en ökning med 33 procent jämfört med 2022.
– Cybersäkerhetsnivån i samhället måste förbättras. Omvärldsläget och den senaste tidens it-incidenter som fått stora konsekvenser för en rad organisationer aktualiserar vikten av ökad förändringstakt. Ökningen av cyberangrepp hänger ihop med att fler överbelastningsangrepp rapporterades mellan januari och maj 2023, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer på MSB.
Han fortsätter:
– Det sammanträffar med de uppmärksammade manifestationer där koranen skändades på olika platser i Sverige. Angreppen begränsade exempelvis tillgängligheten till webbsidor. Det är allvarligt att så många organisationer drabbades, samtidigt noterades inga större samhällskonsekvenser denna gång.
Förutom att andelen cyberangreppsförsök ökat visar alltså statistiken att närmare hälften av alla it-incidenter har sitt ursprung hos en leverantör till den rapporterade organisationen. MSB har i tidigare rapporter påvisat att störningar i digitala leveranskedjor är de incidenter som riskerar att få störst samhällskonsekvenser eftersom en mängd organisationer och dess tjänster kan påverkas samtidigt. I närtid utgör Tietoevry-incidenten ett väldokumenterat typexempel på problematiken.
Årsrapporten har i år en temadel om nya EU-regleringar på information- och cybersäkerhetsområdet. Rapporten lyfter bland annat NIS2, CER, DORA, AI-förordningen och Cyberresiliensakten och ger en överblick på de krav som kan komma att ställas på berörda organisationer. Dessa och andra regleringar kommer att stärka området samtidigt som högre krav innebär ökade kostnader för de organisationer som berörs.
– För att leva upp till kommande krav bedömer MSB att de organisationer som omfattas av regleringarna behöver tillföra resurser redan nu. Medarbetare måste exempelvis utbildas om den nya kravbilden och genomföra gapanalyser. Det behövs även investeringar för att genomföra identifierade säkerhetsåtgärder säger Satu Björn, analytiker på strategiska cybersäkerhetsanalysen på MSB.