#331 - Klas Friberg, jurist och fd. Säpochef

 [00:06] - Niclas
Hej och välkommen tillbaka till Energistrategipodden. Här utforskar vi energimarknadens utveckling genom ögonen på de aktörer som är mitt i den. Vilka val gör de och varför? Jag som delar intresset för bättre förståelse heter Niclas Sigholm. Sverige står inför ett alltmer komplext säkerhetsläge. Våra motståndare agerar inte längre bara med militära medel, utan genom att påverka, störa och försvaga samhällets mest kritiska funktioner. Energibranschen är då ett självklart mål. I det här avsnittet möter jag Klas Friberg, tidigare chef för Säkerhetspolisen, som under många år har arbetat med att skydda Sverige från just den här typen av hot. Vi pratar om vilka våra motståndare är, hur de tänker och varför en stark säkerhetskultur är den bästa försvarslinjen. Klas delar konkreta tips om riskanalyser, övningar och hur ledningsgrupper i energibolag behöver tänka för att stå emot både små och stora kriser. För det handlar inte om om något händer, utan när. Kul att ha dig med, Klas Friberg, tidigare jurist och Säpo-chef. Varmt välkommen till Energistrategipodden.

[01:31] - Klas
Tack så mycket.

[01:32] - Niclas
Berätta lite grann om dig själv. Vad är din bakgrund? Hur kommer det sig att du har jobbat så mycket inom det säkerhetspolitiska området?

[01:40] - Klas
Ja, jag är ju som du sa i grunden jurist, uppvuxen i Göteborg. Jag började på Polisen och Polisens chefsutbildning 1991. Då var jag ändå så pass gammal som drygt 30. Då hade jag hunnit göra en hel del däremellan. Sen har jag haft turen att få bra arbetsuppgifter inom polisen i många år och haft olika chefsbefattningar, inte minst här i Stockholm, när jag var chef för Rikskriminalpolisen i dryga tre år. Det som nu är NOA, fast lite förändrat. Och sen fick jag frågan om jag ville bli chef för Säkerhetspolisen 2018. Då valde jag att säga ja till det. Det var ett nytt ämnesområde för mig. Man kan ändå konstatera att i dag har vi två polismyndigheter i Sverige: Polisen och Säkerhetspolisen. Så det finns likheter men också olikheter. Sedan valde jag att kliva av 2021, lite i förtid, av personliga skäl. Därefter har jag kanske minskat min arbetstid något, men jag gör mycket saker i dag på det jag kallar civilsidan. Jag försökte ofta beskriva när jag jobbade inom Polisen och även Säkerhetspolisen att det inte är polisens ansvar att se till att barnen inte blir kriminella.

[03:12] - Klas
Det är samhällets ansvar och fler måste göra mycket, mycket mer. Och nu gör jag i princip bara saker på civilsidan, antingen för barn och unga eller för Sveriges säkerhet.

[03:24] - Niclas
Vilken fin sak, tänker jag. Men du blev också känd under din tid på Säpo för ett ledarskap präglat av en tillitsbaserad filosofi och en drivkraft att förändra inom polisväsendet. Kan du berätta lite mer om det och varför det var viktigt för dig?

[03:46] - Klas
Ja, men det var viktigt egentligen från början. Om man tar den stora polisreformen 2015, när vi blev en myndighet, så var den ideologiska grunden just tillitsarbetet: att flytta fokus från kontroll till att få saker gjorda. Det fanns en bra ideologisk grund i ett betänkande som kom 2013, Att tänka nytt för att göra nytta. Vi – många av oss – trodde verkligen på det inom Polisen. Sen blev vår omorganisation 2015 ganska kämpig.

[04:20] - Niclas
Och det var mycket skriverier.

[04:22] - Klas
Mycket skriverier och mycket interna diskussioner. Det svåra var att organisera om: alla chefer fick söka om sina befattningar och det var väldigt många strukturella frågor som skulle lösas. Då glömde vi bort ideologin – att vi ska jobba nerifrån och upp och ge större kraft och resurser till våra medarbetare längst ute. Det där föll lite i glömska.

[04:52] - Niclas
Det låter kanske självklart, men vad var det för operativa vinster du sökte med det här?

[04:58] - Klas
Om vi börjar med det sista jobbet jag hade på Säkerhetspolisen, så handlade det om att få bort hierarkier, få mycket snabbare åtgärder och komma till beslut. Jag såg – och ser – att det finns otroligt mycket kompetens inom Säkerhetspolisen och den finns ofta långt ut i linjen. Om man då har en för hierarkisk organisation och för många chefsled ovanför innan man ska fatta de viktiga besluten, då är det för sent. Våra motståndare är otroligt snabba. Jag pratar om statliga aktörer, men också terrorister och i vissa fall kriminella – ibland är det samma sak. För att vidta rätt åtgärder eller förebygga måste vi vara snabbare på bollen. Det blir man inte om man är för hierarkisk.

[05:49] - Niclas
Jag tänker att det knyter an till det vi kommer att prata om senare. Jag vill tro att mycket på Säkerhetspolisen var väldigt hemligt. Så är det även med säkerhets- och beredskapsarbetet i energisektorn, vilket kan hindra samarbete i en organisation. Hur jobbade du med den aspekten?

[06:07] - Klas
För det första att tydliggöra att det är en utmaning – att mycket är hemligt och internt. Även gentemot andra försökte jag och andra hitta sätt att prata om hur vi kunde förbättra verksamheten, samarbetet och samverkan utan att avslöja hemligheter – genom att prata processer, roller och försöka hitta ett gemensamt språk.

[06:39] - Niclas
Som lekman tänker man annars att i ett allvarligt läge blir en hierarkisk organisation viktig med ordergivning från toppen. Samtidigt har man förstått från till exempel Ukraina att det ofta är tvärtom för att få en effektiv stridskraft. Håller du med?

[07:02] - Klas
Absolut. Utmaningen för både Polisen och Säkerhetspolisen är att myndigheten har vålds- och tvångsmonopol. I de delarna är ansvarskrävandet hierarkiskt. Det går inte att komma runt med tillitsbaserat ledarskap, utan man måste kunna ha två tankar i huvudet samtidigt. När du nämner Ukraina och kriget: den bästa taktiken jag känner till – även för Polisen – är uppdragstaktik. Tydliga mandat för medarbetare vad de ska uppnå i en situation, och sedan får de lösa uppgiften själva på det sätt de vet fungerar. Sättet ska inte komma uppifrån. Jag har sett mycket bra hända när man använder uppdragstaktik, och det går att översätta direkt till tillitsbaserat ledarskap.

[08:07] - Niclas
För lyssnarens skull – vill du beskriva vad Säpos roll är?

[08:16] - Klas
Övergripande är Säpos roll att ansvara för den inre säkerheten i Sverige, med fokus på statliga antagonister och på terrorism – att i första hand förebygga. En tredje stor uppgift är personskydd för statsledningen. För att klara uppdraget krävs samarbete med de som har omvärldskoll: Försvarsmakten, UD, FRA och Polisen, med flera. Bra samarbete med dessa är avgörande för Säkerhetspolisen.

[09:08] - Niclas
Det kan ju hända väldigt mycket samtidigt i ett land. Under din tid mötte ni både terroristhot och spionage – det hände rätt mycket på Säkerhetspolisen, och dessutom under en tid med mycket extremism. Hur hanterar man mångfalden av hotbilder? Vilken förmåga gör en säkerhetspolis bra?

[09:40] - Klas
Det krävs bredd och kompetens. Och förmågan att tänka två, tre eller fyra tankar samtidigt och hantera dem. En händelse som kom snabbt när jag blev chef var Salisbury i Storbritannien, där ryska agenter gjorde ett mordförsök på två avhoppare. Det var en röd linje som överträddes grovt. Det påverkade oss alla på många sätt men visade också förmåga, vilja och hänsynslöshet hos – i detta fallet – Ryssland.

[10:26] - Niclas
En grundläggande anledning till att vi ville ha med dig, Klas, är att säkerhetsläget i världen har försämrats – inte minst på grund av kriget i Ukraina och de hybridattacker som blir allt vanligare i Europa, även om vi inte alltid ser antagonisten. Det leder till behov av fler och djupare säkerhetsanalyser i energibolag som har omfattande och geografiskt utspridda verksamheter och verkar på konkurrensutsatta marknader. Vad innebär det i form av begränsningar i resurser? Om vi börjar där: Vilka är våra motståndare? Vad vill de? Vad kan de? Varför? Hur hänger det ihop?

[11:27] - Klas
Jag kan försöka beskriva det, och sen vill jag gärna prata om det interna perspektivet. Motståndarna – enligt Säkerhetspolisen då och nu – är minst tre statliga aktörer: Ryssland, Kina och Iran. De har olika motiv för att påverka Sverige. Det viktiga att komma ihåg är att de har mycket resurser och god förmåga – oavsett om det är lagligt i Sverige eller ej. När vi pratar om Ryssland och slänger oss med begreppet hybridkrigföring är det viktigt att tänka vad det innebär.

[12:49] - Klas
För mig innebär det att man kan vidta vilka åtgärder som helst som försvårar verksamheten i Sverige. Jag påstår att Ryssland är ekonomiskt pressat, men vill de påverka Sveriges integritet eller politiska suveränitet är de beredda att vidta många olika åtgärder som inte kostar dem mycket och som inte alltid innebär stor risk att avslöjas direkt. Många myndigheter och företag tittar på värsta scenarierna med krig, men jag tycker man ska börja med hybridangrepp i vardagen – som redan sker. Alla utsätts i dag för olika typer av cyberattacker. Det kan vara kriminella, men också statliga aktörer som testar vår cybersäkerhet och hur vi agerar när vi blir attackerade.

[14:06] - Klas
Det är där man ska börja när man funderar på hur vi ska skydda oss. Kriget ska vi också träna på, men börja i den egna verksamheten. Min uppmaning är att ha ett inåt-perspektiv: Vad är absolut känsligast hos oss och hur skyddar vi det? Motståndaren tänker så. Angreppsvektorn kan vara cyber, men också människor som hanterar de mest känsliga delarna. Man måste även tänka på den fysiska säkerheten.

[15:06] - Niclas
Kanske en naiv fråga, men varför – ta exemplet Kastrup. Ulf Kristersson sa häromdagen att det lika gärna hade kunnat hända i Sverige. Om vi resonerar hypotetiskt att det är en fientlig makt: Varför flyger man i fyra timmar med drönare med ljus på för att synas? Vad är syftet? Det skulle lika gärna kunna vara över en stamnätsledning.

[15:37] - Klas
Jag kan bara spekulera, men utifrån hur de tänker: att slå split i samhället. Vad ger störst rubriker? Att störa flygtrafiken ger nog större rubriker än mycket annat. De tycker det är bra när länder blir väldigt fokuserade på en enskild händelse. Nästa händelse kan vara något helt annat, men också ge stor uppmärksamhet och mycket jobb för det drabbade landet. De vill försvåra vardagen. Det vi kallar nästa "angrepp" i hybridvärlden kan vara något helt annat.

[16:38] - Niclas
Det sägs ofta att man testar oss: internet försvinner i en småstad, en hamn blir utan el, mottagningsstationer drabbas samtidigt av liknande fel. Varför testa? Man kunde tro att man vill hålla sin förmåga hemlig. Varför småpeta?

[17:07] - Klas
För att göra oss nervösa, försvåra, få oss att fokusera på olika saker dag för dag – vilket kostar oss pengar och resurser. De testar även sig själva: Hur gör vi? Vilken plattform använder vi? Vad leder det till? Är risken värd det? Eller gör vi annorlunda nästa gång?

[17:48] - Niclas
Om vi vänder på det, eftersom Säpo också tittar på det inre hotet: det finns många tusen människor innanför stängslet i energibranschen – anställda och konsulter, svenska och utländska. Hur hanterar man det?

[18:17] - Klas
Jag vill att många myndigheter och företag i större utsträckning ser säkerhetsfrågorna i ett helhetsperspektiv – som en strategisk fråga för ledningen. Ett exempel är säkerhetsskyddslagen, som säger att säkerhetsskyddschefen ska rapportera direkt till chefen – vd eller generaldirektör. Det signalerar att detta är strategiskt. Och då måste man också förstå att säkerhet får kosta pengar.

[19:30] - Niclas
Jag har suttit i organisationer där vissa anläggningar uppenbart faller under säkerhetsskyddslagen och andra där det är mer oklart. Internt kan det uppfattas som en stor börda att klassas och behöva alla åtgärder. Hur ska man tänka när man väger kostnad mot nytta?

[20:10] - Klas
Tänk det som en försäkring. När man väl blir utsatt – cyber eller fysiskt – kostar det otroligt mycket att lösa i efterhand. Det bästa man kan göra är att förebygga och ta bort svagheter.

[21:00] - Niclas
Om du och jag satt i en workshop med en riskmatris – effekt vs. sannolikhet – och uppe till höger ligger t.ex. ett brett IT-angrepp eller ett kraftverk som störs ut. Sannolikheten är låg men kostnaden för att försvara sig kan bli enorm. Hur hittar man rimligheten?

[21:52] - Klas
Det är en svår balans. Om något i övre högra hörnet inträffar kostar det otroligt mycket. Ska vi inte då förebygga så långt det går? Balansen förskjuts också om regeringen höjer beredskapen – då ökar priset för att inte ha förberett sig.

[22:51] - Niclas
Har du sett företag tjäna på den här beredskapen?

[22:57] - Klas
Det svåra är att värdera det som inte hänt. Men de som drabbats av riktiga cyberangrepp och fått stänga i veckor hade nog önskat att de skött sitt säkerhetsarbete bättre i förväg.

[23:37] - Niclas
Om vi tittar på vad som bör finnas på högsta ledningsnivå oavsett bolagsstorlek?

[24:17] - Klas
Gör riskanalyser av den egna verksamheten: identifiera svagheter och ha en handlingsplan. Men viktigast är allmän kunskap hos alla medarbetare om varför vi gör detta. Medvetenhet är bästa skyddet.

[25:01] - Niclas
Du har talat om naivitet i organisationer. Vad behöver en generell medarbetare veta?

[25:18] - Klas
Att det finns statliga aktörer med kraft och agenda, kriminella som vill tjäna pengar och terrorister som vill förstöra. Utbilda medarbetare med exempel. Analysera: om någon vill försvåra det vi producerar, vad skulle de gå på? IT-system? Fysisk säkerhet? Det finns exempel där cybersäkerheten var god men servrarna stod i en källare bakom gipsväggar. Tänk helhet. Och motståndarna kartlägger nyckelpersoner – kan de värvas?

[26:34] - Niclas
Vilka går de på? Nyckelpersonerna?

[26:37] - Klas
Det beror på vad de är ute efter – men nyckelpersoner i känsliga verksamheter, ja.

[26:52] - Niclas
Hur går det till?

[26:54] - Klas
Säkerhetspolisens webb beskriver bland annat spiontrappan. Man börjar med vad man vill veta, identifierar myndigheter/företag, enheter och individer. Finns mänskliga svagheter att utnyttja? Sen sker ett närmande – på spårvagnen, gymmet, krogen – och relation byggs. Först oskyldigt: "Kan jag få se er verksamhetsplan?" – lagliga saker – men trappan fortsätter.

[28:09] - Niclas
Vad ska man vara uppmärksam på? När går gränsen?

[28:12] - Klas
Gränsen har gått långt innan överlämnande av hemligheter. Var inte naiv: om någon närmar sig kan det finnas dolda syften.

[28:25] - Niclas
Så om jag på krogen möter en väldigt trevlig person som ber om en offentlig verksamhetsplan – ska jag redan där vara vaksam? Finns risk att vi skapar misstänksamhet.

[28:55] - Klas
Sunt förnuft gäller. Ställ motfrågor som kan klargöra avsikten.

[29:05] - Niclas
Hur bra är de då?

[29:10] - Klas
De är bra – och uthålliga. Värvningsförsök kan pågå i år. Man ska tro gott om människor men vara realistisk. När det blir olagligt har du en röd gräns – säg nej och gå till Säkerhetspolisen eller Polisen.

[30:00] - Niclas
Man kan skämmas när man inser ett sluttande plan. Kollegor kanske märker det först. Vad är viktigt i det kollegiala ansvaret?

[30:27] - Klas
Kunskap hos medarbetare och kamrater om att detta kan hända. Var vaksam, prata. Som chef: var noggrann i utvecklingssamtal – finns drog- eller ekonomiska problem? Motståndaren upptäcker det också. Ställ ibland obekväma frågor.

[31:15] - Niclas
Nu kommer lagstiftning som NIS2, CER m.fl. som kräver snabb incidentrapportering. Hur viktigt är det?

[31:41] - Klas
Jag utgår från att lagstiftaren haft skäl. Min oro är byråkrati: att man bygger funktioner och system men inte läser och analyserar rapporterna. Stora utmaningen efter svåra händelser är ofta att man inte agerar enligt befintliga planer – för att ingen kände till dem. Finns planer? Öva dem.

[32:50] - Klas
När det väl händer går det snabbt och man hamnar i "konen" – stress som snävar synfältet. Då frågar ingen: "Har vi en plan?" Därför måste man ha övat.

[33:25] - Niclas
Så lagstiftning kan hjälpa, men kultur och ansvar äter byråkrati till frukost?

[33:36] - Klas
Risken finns. Därför måste ledningen förklara att bakom kraven finns verkliga hot – och att följsamhet ger förmåga.

[33:58] - Niclas
Det är en pedagogisk uppgift.

[34:02] - Klas
Ja – börja på ledningsnivå. Föregå med gott exempel och visa att medarbetarna också måste leva upp till kraven.

[34:21] - Niclas
Tillbaka till ledningsgruppen: vara goda förebilder, förstå och kommunicera vad det handlar om. Min oro är brist på fantasi – svårt att föreställa sig helhetsbilden som behövs, särskilt när ansvaret ligger ute i verksamheten.

[34:54] - Klas
Verksamheten är ofta delegerad med många chefsled, och alla tycker inte säkerheten är viktigast. Men motståndare hittar svagaste delen och går på den.

[35:10] - Niclas
Energibranschen har en sammanlänkad värdekedja – bränslen, produktion, omfattande distribution, hela samhället som konsument. Många aktörer: ~170 elnätsbolag och över 200 värmebolag. Helheten är svår att överblicka. Vad blir extra viktigt?

[36:41] - Klas
Din beskrivning påminner om finanskedjan: många aktörer beroende av varandra. Börja med medvetenhet om att man ingår i ett större sammanhang – om någon fallerar riskerar hela kedjan att fallera. Samarbete och samverkan är centralt, och Energimyndigheten har sannolikt en viktig roll i totalförsvaret att få ihop helheten.

[38:11] - Niclas
Branschen är bra på att samarbeta och mycket är lagstyrt. Men bolagen har olika kulturer, ledarskap och ägare; geografin varierar och överlappar inte alltid civilområdena från MSB. Det blir komplext och svårt att styra även för en statlig myndighet. Hur sätter man ord på ansvaret utan att bli överväldigad?

[39:13] - Klas
Det är komplext. Men jag återkommer: gräv där du står. Identifiera svagheter och beroenden och minska riskerna där. Motståndaren vill försvåra med billiga medel – tänk vardagsskydd först.

[39:56] - Niclas
En nyfikenhetsfråga: Om tre nyckelkompetenser i en region försvinner samtidigt och ett underskott uppstår – hur tänker man när konkurrensfrågor och praktik krockar?

[41:02] - Klas
I riskanalysen ska nyckelpersoner ingå. Är de bara tre? Vilken medelålder? Har vi redundans? Motståndaren tänker likadant.

[41:39] - Niclas
Men ibland räcker det inte att anställa fler. Då kan man krocka med konkurrensrätt m.m.

[41:53] - Klas
Eller så utbildar man fler internt. Analogt exempel: En studie från Handelshögskolan i Göteborg visade att SME-företag som i sin riskanalys svarat på "Vad gör vi om fabriken brinner?" klarade pandemin bättre – de hade förberett stängning. Samma princip här: gör läxan och åtgärda svagheter, inte bara identifiera dem.

[42:58] - Niclas
Du återkommer till ledarskap, riskanalys, uppföljning och övning. Blunda inte för övre högra hörnet – när det inträffar blir det mycket dyrare än det såg ut.

[43:38] - Klas
Fin sammanfattning. Jag lägger till: förstå tidigt att åtgärder får kosta resurser.

[43:53] - Niclas
Jag kan tänka mig att ni på Säkerhetspolisen hade en outtömlig önskan om resurser. Branschen är hårt reglerad och ökade krav utan ökade resurser är svårt. Är inte detta en nationell fråga med avsatta resurser?

[44:36] - Klas
Det blir en politisk fråga. Men genom kommunikation mellan branschen och uppdragsgivare sker en förståelseförskjutning – omvärldshändelser tenderar att driva fram mer resurser.

[45:02] - Niclas
Om vi blickar framåt: är trenden uppåtgående – mer oroligheter och störningar?

[45:46] - Klas
Säkerhetspolisen har de senaste åren sagt att säkerhetshotet mot Sverige ökar. Jag vill också vädja: glöm inte Kinas ambition att bli global stormakt. Vi måste ha flera tankar i huvudet – inte bara Ryssland, utan även Kina och Iran.

[46:34] - Niclas
Samtidigt finns komponenter där det knappt finns andra leverantörer än Kina.

[46:40] - Klas
Då måste vi vara medvetna om beroendet och se om vi kan minska det.

[47:18] - Niclas
Det är svårt att komma ur – kanske ett europeiskt problem.

[47:22] - Klas
Ett världsproblem.

[47:36] - Niclas
Det finns väldigt många parallella risker – hårda, IT, mjuka. Hur gör man själv?

[47:36] - Klas
Dramatisera inte – riskerna har alltid funnits, nu är vissa accentuerade. Ha is i magen, stå kvar i backen och åtgärda det du kan. Ta hem frågorna och lös i den egna myndigheten eller företaget – det är vårt bästa förebyggande skydd.

[48:16] - Niclas
Med en personlig touch: när du blev Säpochef och såg allt – hur behöll du lugnet och undvek "konen"?

[49:05] - Klas
Jag förstod terrorhotet från polisår, men inte statliga antagonister förrän på Säpo. Två saker hjälpte: need to know framför nice to know – jag sa nej till många briefingar där detaljerna inte behövdes för min strategiska roll. Mitt jobb var inte att se till att vi gör saker rätt, utan att vi gör rätt saker. Jag har teflonhjärna för hemligheter – minns de stora frågorna.

[50:20] - Niclas
Särskilj på nivåerna – gottas inte i detaljer.

[50:26] - Klas
Ja. Förväntan finns ofta att jag ska ha detaljkunskap om ärenden. Det ska jag inte ha. Jag har varit på strategisk nivå, inte operativ.

[50:55] - Niclas
Vad drömmer du om om tio år?

[51:09] - Klas
Min devis är "Fler måste göra mer". Jag brinner för att vi måste bli mycket bättre på att ta hand om barn och unga så att de inte hamnar i utanförskap och kriminalitet. Vi har varit dåliga på det i 40 år. Jag vill se fler och bättre åtgärder som minskar riskfaktorer och ökar skyddsfaktorer. Vi har startat Göteborgsinstitut för samhällsansvar där vi vill skapa större engagemang från näringslivet för barn och ungdomar.

[52:17] - Niclas
Vad fint! Hur hjälper man till om man är ett företag?

[52:20] - Klas
Det finns många organisationer att stötta – inte bara med pengar utan med kompetens och resurser. Mycket bra förebyggande görs, men saknar ofta resurser och långsiktig finansiering. Låt oss stötta det som redan fungerar – då får vi på sikt mindre kriminalitet.

[53:00] - Niclas
Och också säkerhet över tid.

[53:02] - Klas
Absolut, säkerhet över tid.

[53:05] - Niclas
Hörru Klas, jätteintressant att prata om de här frågorna. Jag tänker att vi har gjort ett litet slag för att påminna om hur viktigt det är att införliva en kultur där säkerhetsarbetet lever. Eller?

[53:19] - Klas
Du uttrycker det väl. Det måste visas från ledningen att det här är viktiga frågor.

[53:25] - Niclas
Tack så mycket.

[53:27] - Klas
Tack.

Sammanfattning – Niclas Sigholm möter Klas Friberg om säkerhetsläget och energisektorn

Samtalet kretsar kring hur Sveriges förändrade säkerhetsläge påverkar energibranschen och vad som krävs för att bygga motståndskraft. Klas Friberg, tidigare chef för Säkerhetspolisen (Säpo), beskriver hotbilden, hur motståndare agerar och varför kultur, ledarskap och vardagsnära riskarbete är avgörande – inte bara teknik och regler.

Säpos uppdrag och hotbilden

• Säpos roll: Inre säkerhet, förebygga statliga hot och terrorism samt skydda statsledningen. Arbetet bygger på samverkan med Försvarsmakten, UD, FRA och Polisen.

• Huvudantagonister: Ryssland, Kina och Iran – alla med olika motiv men betydande resurser och hög förmåga.

• Hybridkrigföring: Snarare än ”krigs-scenariot” i stort handlar hoten ofta om vardagliga störningar som är billiga att genomföra, svåra att direkt attribuera och designade för att skapa osäkerhet, split och kostnader. Exempel: långvariga drönarstörningar, riktade cybertester, samordnade ”små fel” i infrastruktur.

• Eskalation: Säkerhetshotet mot Sverige har ökat. Samtidigt varnar Friberg för att inte ensidigt fokusera på Ryssland; Kinas globala ambitioner och Irans aktiviteter måste också vägas in.

Ledarskap: från hierarki till uppdragstaktik

• Tillitsbaserat ledarskap: Friberg förespråkar att beslut tas närmare dem som har lägesbilden. Mindre hierarki ger snabbare åtgärder och bättre motståndskraft.

• Uppdragstaktik: Ge tydliga mål och mandat – låt medarbetarna lösa uppgiften på bästa sätt lokalt. Det är snabbare än att styra alla detaljer uppifrån och fungerar även i civila organisationer.

• Strategisk kontra operativ nivå: Ledningens uppgift är att säkerställa att ”vi gör rätt saker”, inte att detaljstyra. Håll fast vid ”need to know” framför ”nice to know” för att bevara fokus och lugn.

Energisystemet: en kedja där svagaste länken avgör

• Komplexitet och beroenden: Bränslen, produktion, el- och värmedistribution och tusentals komponenter binds samman i ett stort ekosystem med många aktörer (bl.a. >170 elnätsbolag och hundratals värmebolag). Ett fel kan få systemeffekter.

• Lärdom från finanssektorn: Precis som i finansiella system krävs att varje aktör förstår sitt ansvar i helheten och att samarbete och informationsdelning fungerar – särskilt i det förebyggande arbetet.

• Geopolitiska leverantörsberoenden: I vissa teknikområden finns starka beroenden, t.ex. mot Kina. Allt går inte att bryta snabbt, men beroenden måste kännas igen, mätas och gradvis minskas där det är möjligt.

Vad ledningar bör prioritera – oavsett bolagsstorlek

1. Riskanalys och handlingsplan

   • Identifiera ”kronjuveler”: vad är mest känsligt (system, data, processer, människor)?

   • Kartlägg beroenden (interna/externa, människor/teknik/logistik).

   • Planera åtgärder – och genomför dem (inte bara pappersprodukter).

2. Säkerhetskultur och kunskap

   • Höj medvetenheten i organisationen om hotbilder, metoder och ”varför” bakom skyddsåtgärder.

   • Kultur äter byråkrati till frukost: utan förankring i vardagen hjälper inte policydokument.

3. Övning och repetition

   • Planer måste vara kända och övade. I skarpa lägen smalnar synfältet (”konen”) och det finns inte tid att leta instruktioner.

   • Återkommande övningar i incidenthantering och krisledning minskar panik och felsteg.

4. Resurser och prioritering

   • Säkerhet är en försäkring: kostnaden syns i förväg, men alternativen (långvariga avbrott, produktionstapp, återställning) blir ofta mycket dyrare.

   • Acceptera att viss redundans och robusthet kostar.

Insider- och personrisker: människor som angreppsvektorer

• Spiontrappan: Från kartläggning av organisationer och nyckelpersoner till successivt närmande och normalisering. Värvningsförsök kan pågå i år.

• Vaksam vardag: Var uppmärksam på oväntade kontakter och udda förfrågningar (även efter öppna dokument). Använd sunt förnuft, ställ motfrågor och följ principen ”need to know”.

• Chefsansvar: I utvecklingssamtal fånga tidiga signaler om sårbarheter (t.ex. ekonomi- eller drogproblem) för att kunna erbjuda stöd – och minska risken att någon utnyttjas.

• Rapportera i tid: När någon ber om olagliga handlingar är gränsen passerad – säg nej och informera Säpo/Polisen.

Reglering (NIS2, CER m.fl.) – nytta och fallgropar

• Värdet: Tvingar fram struktur, incidentrapportering och miniminivåer som höjer lägstanivån i hela ekosystemet.

• Risk: Överdriven byråkrati som tar fokus från analys och åtgärd. Råd: Prioritera att läsa, analysera och agera på rapporter, och säkerställ att processer är kända och övade.

• Ledningens roll: Förklara pedagogiskt varför efterlevnad behövs (verkliga hot, reell förmåga), och föregå med gott exempel.

Balans mellan sannolikhet och konsekvens

• Riskmatrisens övre högra hörn (låg sannolikhet, mycket stor påverkan) kräver medvetna investeringar.

• Timing spelar roll: När beredskapen i landet höjs blir det ”dyrare” att agera sent; åtgärder i förväg är mer kostnadseffektiva.

• Mätbar nytta trots ”det som inte hände”: Svårt att bevisa prevention, men fall där verksamheter stängts i veckor visar priset för bristande förberedelser.

Praktiska råd till energibolag

• Gräv där du står: Skydda det mest affärs- och samhällskritiska först.

• Börja i vardagen: Tänk hybridangrepp och driftstörningar innan ”krigsscenariot”.

• Säkerställ redundans i kompetens: Identifiera nyckelpersoner, skapa backup (utbilda fler, planera vikarieflöden), och hantera regional sårbarhet.

• Samarbeta strukturerat: Branschen är redan lagstyrd och van vid samverkan – formaliserade forum, gemensamma övningar och delad lägesbild gör kedjan starkare.

• Känn dina leverantörer: Gör proportionerliga leverantörs- och komponentgenomgångar. Där beroenden inte kan brytas, arbeta med kompenserande kontroller (t.ex. segmentering, övervakning, avbrottsplaner).

Håll huvudet kallt – men handla

• Undvik dramatik: Risker har alltid funnits; vissa är starkare nu. Behåll ”is i magen” och jobba metodiskt med det du kan påverka.

• Fokus på rätt nivå: Ledningen ska styra vad som är viktigast (prioriteringar, resurser, kultur), inte detaljstyra hur allt görs.

• Kommunicera mening: För att få med alla krävs att man förstår varför säkerhetsarbetet finns – inte bara hur.

En bredare samhällsambition

• Fribergs devis ”Fler måste göra mer” avser också samhällsutmaningar som ungdomskriminalitet. Förebyggande insatser för barn och unga stärker på sikt hela samhällets säkerhet – och därmed även motståndskraften i kritiska sektorer.