Vetenskapsrådet har publicerat nya nationella riktlinjer för cybersäkerhetsverktyg och säker nätinfrastruktur inom forskningssektorn. Riktlinjerna, som sträcker sig fram till 2029, markerar ett viktigt skifte: cybersäkerhet är inte längre bara en fråga för it-avdelningen. För att skydda värdefulla forskningsdata krävs nu ett systematiskt allriskperspektiv där arkivarier, registratorer och jurister involveras tidigt i processen.
Fragmentering och skarp kritik från Riksrevisionen
Bakgrunden till de nya riktlinjerna är en digital miljö som under en längre tid präglats av sårbarheter. Flera rapporter visar att cybersäkerhetsnivån vid bland annat svenska lärosäten måste höjas markant. I dagsläget beskrivs it-miljön ofta som en fragmenterad flora av olika verktyg och system som är svåra att integrera, överblicka och samordna centralt. Mycket av arbetet styrs av externa minimikrav snarare än proaktiv utveckling.
Denna problematik bekräftas av Riksrevisionen, som i sin rapport (RiR 2023:20) riktat skarp kritik mot universitet och högskolor för brister i hanteringen av skyddsvärda forskningsdata. Samtidigt konstaterar Säkerhetspolisen att svensk forskning och innovation är ett mycket attraktivt mål för främmande makt. Detta ställer helt nya krav på hur information struktureras, gallras, bevaras och skyddas från första stund.
Rekommendationen: bryt stuprören mellan IT, juridik och arkiv
För att möta hotbilden och nå målbilden för 2029 betonar Vetenskapsrådet att cybersäkerhet måste betraktas som en verksamhetskritisk förutsättning på alla nivåer. Den enskilt viktigaste rekommendationen för alla som arbetar med informationshantering återfinns under punkt 2a i rapporten. Här uppmanas lärosäten och forskningsinstitut uttryckligen att bryta ner interna stuprör och etablera tvärfunktionella samarbeten.
Myndigheterna ska skapa strukturer där medarbetare inom it, säkerhet, juridik, arkiv och forskning arbetar tillsammans under hela livscykeln – från utveckling och upphandling till löpande förvaltning av digitala verktyg och nätinfrastruktur. Genom att integrera arkivvetenskaplig och juridisk expertis tidigt kan verksamheten säkerställa regelefterlevnad gällande dataskydd, sekretess och säkerhetsskydd – områden där det i dag råder stor osäkerhet. Detta skapar förutsättningar för att tillämpa principer om inbyggd dokument- och arkivhantering redan i systemdesignen.
Mot ett proaktivt allriskperspektiv
Fram till 2029 ska forskningssektorn röra sig mot fungerande processer som hanterar cybersäkerhet utifrån ett brett allriskperspektiv. Detta innefattar regelbundna inventeringar för att utvärdera verktyg, identifiera överlappande funktionaliteter och gallra ut osäkra system.
Arbetet ska ta stöd i externa referensramverk, såsom ISO 27000-serien och Myndigheten för civilt försvars (MCF) metodstöd. Genom att lyfta upp informationsförvaltningen som en strategisk säkerhetsfråga blir arkivariens och registratorns kompetens helt avgörande för att värna Sveriges kunskapstillgångar i en osäker omvärld.
Riktlinjerna har utarbetats i enlighet med regleringsbrevet för 2025 och bygger på Sveriges nationella cybersäkerhetsstrategi inom ramen för NIS 2-direktivet. De trädde i kraft den 11 maj 2026.
Hämta rapporten
________
Bild: AI-genererad genom Google Gemini