Järfälla

I cyberattacken mot Miljödata i höstas fick över 30 000 anställda och tidigare anställda hos Järfälla kommun sina uppgifter läckta på darknet.

– Vi ser löpande exempel i nyheterna på vad som kan hända, Miljödata är ett exempel. Angreppen mot Coop och Kalix kommun är andra, säger Johanna Nilsson, informationssäkerhetsspecialist på Myndigheten för civilt försvar.

Johanna Nilsson, informationssäkerhetsspecialist på Myndigheten för civilt försvar.

Johanna Nilsson, informationssäkerhetsspecialist på Myndigheten för civilt försvar.

Press

Stora konsekvenser

Hon säger att i och med att samhället blir allt mer digitalt leder det till att samhället blir mer sårbart när det inte fungerar.

– Störningar kan orsakas av angrepp, men också av andra incidenter. När det sker kan det få stora konsekvenser, som att trygghetslarm slutar fungera, eller att dricksvattnet inte kan kvalitetssäkras. Oavsett varför störningar sker är det viktigt att man som organisation har ett robust system som minskar riskerna.

Sedan 15 januari i år har Sverige en skarpare cybersäkerhetslag (NIS2). Men i Järfälla ligger man långt efter. Enligt revisionsbyrån Pwc:s rapport har kommunen "betydande eftersläpningar" och är fortfarande i utvecklingsskede. De skriver att från 2023 har arbetet delvis avstannat vilket ökar kommunens risknivå.

Kommunen är uppenbart inte är redo.

Det rör sig om otydlig ansvarsfördelning, otillräckliga resurser, ingen sammanhållen plan för att utbilda personal och bristande rutiner.

Ny lag på plats

Cybersäkerhetslagen (NIS-direktivet) syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela EU.

Jämfört med NIS ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder och att ledningen tar större ansvar i arbetet. Många fler organisationer omfattas också.

NIS2-direktivet genomförs i Sverige genom cybersäkerhetslagen som gäller från 15 januari 2026. Följer man inte lagen kan man få betala sanktionsavgifter – som mest 10 miljoner kronor.

Källa: MCF

Ignorerat tidigare kritik

Kommunrevisionen riktar nu sin allvarligaste form av kritik mot kommunstyrelsen.

– Kommunen är uppenbart inte är redo och hantera den nya lagstiftningen som är på plats, säger Mikael Jämtsved (MP), ordförande i kommunrevisionen.

Redan 2022 uppmanades kommunen ta tag i frågan utifrån dåvarande lagstiftning.

– Det är så klart extra allvarligt att man ignorerat kritiken tidigare. Kommunstyrelsen förmedlade att man skulle ta tag i frågan, vilket aldrig gjordes.

Varför är det här allvarligt?

– Kommunen sitter på otroligt mycket information om enskilda. Det är heller ingen hemlighet att det finns skyddsobjekt i kommunen. Om informationen kommer i orätta händer kan det få otroliga skador, dels för rikets säkerhet men också för enskilda individer.

Handlingsplan på gång

Biträdande kommundirektör Jenny Wilhelmsson svarar i ett mejl till Mitt i att de kommer skriva ett yttrande om rapporten.

"Vi håller parallellt på och tar fram en handlingsplan för hur vi ska åtgärda bristerna enligt revisionens önskemål. Främsta orsaken är att vi haft personalförändringar som gjort att vi är sena. Vi har sedan november en anställd informationssäkerhetssamordnare som har fokus på området."