Två nya nationella strategier sätter riktningen för företag – motståndskraft och AI i fokus

Regeringen har nyligen presenterat två nationella strategier med tydlig betydelse för näringslivet: dels en nationell strategi för motståndskraft i samhällsviktig verksamhet 2026–2030, dels en samlad nationell AI-strategi. Strategierna avser olika sakområden, men pekar i samma riktning. För företag innebär de en tydligare anvisning om vilka förmågor som ska byggas upp för att möta framtida krav på robusthet, säkerhet, digitalisering och konkurrenskraft.

Gemensamt för strategierna är att de inte enbart riktar sig till offentliga aktörer. Tvärtom bygger båda på antagandet att privata företag har en central roll för såväl samhällets funktionalitet som Sveriges ekonomiska och tekniska utveckling. För många verksamheter innebär detta inte omedelbart nya rättsliga skyldigheter, men väl en tydlig signal om skärpta förväntningar, kommande kravställning och ökad tillsyn.

Motståndskraft i samhällsviktig verksamhet – bredare än CER-direktivet

Strategin för motståndskraft i samhällsviktig verksamhet tar sin utgångspunkt i CER-direktivet ((EU) 2022/2557) om kritiska entiteters motståndskraft. Direktivet kräver att medlemsstaterna antar en nationell strategi och, tillsammans med en nationell riskbedömning, identifierar de verksamhetsutövare som ska klassificeras som kritiska och därmed omfattas av särskilda skyldigheter.

Den svenska strategin har dock getts en bredare räckvidd än direktivet. Regeringen har valt att inte begränsa strategin till de verksamheter som formellt träffas av CER-regelverket, utan att i stället använda den som ett bredare ramverk för motståndskraft i samhällsviktig verksamhet. Strategin knyter därmed samman unionsrättsliga krav med svenska behov inom beredskap, totalförsvar och kontinuitetsplanering.

CER-direktivet omfattar elva sektorer, bland annat energi, transporter, digital infrastruktur, hälso- och sjukvård, dricksvatten, livsmedel och offentlig förvaltning. För verksamhetsutövare som identifieras som kritiska följer bland annat krav på riskbedömningar utifrån ett allriskperspektiv samt lämpliga och proportionella tekniska, säkerhetsmässiga och organisatoriska åtgärder, inklusive en plan för motståndskraft.

Regeringens strategi utgår från en målbild där Sverige år 2030 ska ha god motståndskraft i hela hotskalan, i såväl kris som krig. Två fokusområden lyfts fram: dels ett motståndskraftigt Sverige, med tydligare identifiering av samhällsviktig verksamhet, mer ändamålsenlig kravställning och stärkt privat-offentlig samverkan, dels ett systematiskt och effektivt arbete hos verksamhetsutövare, med särskilt fokus på risk- och kontinuitetshantering, incidenthantering, leveranskedjor, beroenden, fysiskt skydd, personalsäkerhet och övningar.

För företag är budskapet tydligt. Även om strategin inte i sig omedelbart skapar nya skyldigheter, markerar den riktningen för kommande reglering, tillsyn och marknadskrav. Detta gäller inte bara verksamheter som kan komma att identifieras som kritiska verksamhetsutövare, utan även leverantörer till sådana aktörer. Krav på robusthet, incidenthantering, beroendeanalys och leveranssäkerhet kan därför väntas få genomslag långt utanför den krets som formellt omfattas av CER-direktivet.

AI-strategin – konkurrenskraft, samhällsnytta och ansvarstagande

Samtidigt har regeringen presenterat en nationell AI-strategi som för första gången samlar Sveriges övergripande inriktning för AI-politiken. Strategin innebär att Sverige ska vara bland de tio främsta länderna i världen inom AI, där Norden ska vara en globalt ledande region och Sverige ska vara världsledande i att använda AI i den offentliga förvaltningen för att öka effektivitet, kvalitet och service.

AI-strategin tar ett brett grepp om frågor som innovation, forskning, investeringar, offentlig förvaltning, säkerhet och hållbar utveckling. Den ska genomföras genom bland annat myndighetsuppdrag, lag- och förordningsändringar, budgetbeslut och samverkansforum, och kompletteras av en handlingsplan med konkreta åtgärder och ansvarsfördelning.

Ett centralt tema är att AI-utvecklingen ska vara ansvarsfull. Regeringen betonar behovet av enkla, förutsägbara, teknikneutrala och ändamålsenliga regler, samtidigt som personlig integritet, företagshemligheter, upphovsrätt och säkerhetsintressen ska värnas. Tillgången till data av hög kvalitet lyfts fram som en nyckelfråga, liksom förmågan att förvalta, dela och använda data på ett säkert sätt. Även standardisering, cybersäkerhet och digital suveränitet ges stor vikt.

Strategin har också ett tydligt säkerhets- och beredskapsperspektiv. AI ska användas för att stärka skyddet av samhällsviktiga funktioner, bidra till brottsbekämpning och möta risker kopplade till desinformation, manipulation och polarisering. Inom offentlig sektor planeras bland annat en nationell AI-verkstad från 2026, med gemensam infrastruktur, vägledning och stöd för utveckling och delning av AI-lösningar.

För näringslivet innebär strategin en tydlig politisk viljeinriktning. Regeringen vill stärka det svenska AI-ekosystemet genom bättre investeringsförutsättningar, snabbare tillståndsprocesser, förbättrad kapitalförsörjning och satsningar på forskning och innovation. Det handlar inte bara om att främja teknikutveckling, utan också om att stärka Sveriges position i AI:s värdekedja – från råmaterial och halvledare till datacenter och mjukvaruutveckling.

Vad betyder detta sammantaget för företag?

Tillsammans ger strategierna en tydlig bild av regeringens prioriteringar. Företag förväntas inte längre endast förhålla sig till enskilda regelverk isolerat, utan i allt högre grad arbeta integrerat med frågor om motståndskraft, cybersäkerhet, datahantering, AI-användning, kontinuitet och styrning.

För många verksamheter kommer frågorna dessutom att överlappa. Ett företag som verkar inom samhällsviktig verksamhet kan samtidigt behöva förhålla sig till CER-direktivet, NIS 2-direktivet, den svenska cybersäkerhetslagen, säkerhetsskyddsregelverket, dataskyddsreglering och, vid AI-användning, EU:s AI-förordning och närliggande regelverk. Även där nya skyldigheter ännu inte fullt ut har trätt i kraft, skärps redan nu förväntningarna från tillsynsmyndigheter, kunder, investerare och upphandlande aktörer.

För företag finns det därför skäl att redan nu se över hur arbetet med robusthet, kontinuitet, incidenthantering, dataförvaltning och AI-styrning är organiserat i praktiken. Särskilt viktigt är att ansvar, uppföljning och prioriteringar är tydligt förankrade på ledningsnivå.

Avslutande kommentar

De två strategierna är uttryck för en bredare förflyttning i svensk politik: från sektorsvisa initiativ till ett mer samlat synsätt på säkerhet, digitalisering och konkurrenskraft. För företag innebär det att förmågan att hantera risk, teknik och regelefterlevnad blir alltmer affärskritisk.

Vi på Cederquist biträder verksamheter i frågor som rör motståndskraft, cybersäkerhet, AI, regelefterlevnad och samhällsviktig verksamhet. Ni är välkomna att kontakta oss om ni vill diskutera hur de nya strategierna kan påverka er verksamhet.