– Vi tror att det är ett enkelt förslag som skulle kunna ge stor effekt omgående, inte minst bland de små och medelstora bolagen som idag är den grupp som släpar efter när det gäller skydd mot cyberbrottsligheten, säger Stöldskyddsföreningens vd Thomas Brühl. 

Han menar att det inte råder något inget tvivel om att cyberbrottslighet är ett samhällshotande problem.

– Enligt säkerhetsföretaget Truesec kostar cyberbrotten och åtgärderna för att bygga nödvändiga skydd så mycket som 30 miljarder årligen. Trots det saknar många bolag incitament för att göra investeringar som skulle kunna öka skyddet mot cyberangrepp, säger Thomas Brühl.

Stöldskyddsföreningens bedömning är att större organisationer i gemen idag har relativt väl utbyggda system för att hantera cyberangrepp, sämre är det med de små och medelstora bolagen.

Stöldskyddsföreningen vill därför att det offentliga ska utnyttja sin position som viktiga kunder för sätta tryck på svenska bolag och föreslår att ett skallkrav på cybersäkerhetscertifiering ska införas vid offentliga upphandlingar. Enligt Upphandlingsmyndighetens statistik gjordes 2021 drygt 18 000 upphandlingar och små och medelstora företag stod tillsammans för 68 procent av alla kontrakterade anbud. Sammanlagt fördelades anbuden mellan 9 000 företag. Det verkliga antalet företag som årligen deltar i offentliga upphandlingar är dock många gånger fler än så.

–  Mot den bakgrunden tror vi att en sådan regelförändring snabbt skulle kunna leda till att tusentals bolag fick en explicit drivkraft att förbättra den egna cybersäkerheten, säger Thomas Brühl. 

Stöldskyddsföreningen lyfter i sammanhanget fram Storbritannien som ett föredöme. Landet införde 2014 cybersäkerhetscertifieringen Cyber Essentials och enbart under 2017 steg antalet cybersäkerhetscertifierade företag från 6 000 till 9 000 och idag har mer än 120 000 företag certifierats. 

– Motsvarande siffra i Sverige är för en liknande certifiering, SSF Cybersäkerhet BAS, 43 certifierade företag, kommuner och organisationer och för ISO 27001 cirka 90 certifierade företag och organisationer. Certifieringar finns med andra ord, men kravställare saknas.