EU:s regelverk för cybersäkerhet och AI riskerar att inte hänga med i utvecklingen av allt mer avancerade, AI-drivna cyberangrepp. Det framgår av en rapportering i Politico Europe, där lagstiftare varnar för att dagens lagar är “ill-equipped” att hantera vad som beskrivs som en ny era av så kallad “superhacking” med hjälp av kraftfulla AI-modeller.
Bakgrunden är framväxten av avancerade AI-system som kan identifiera och exploatera sårbarheter i en skala och hastighet som tidigare varit omöjlig. Enligt uppgifter som refereras av Politico kan dessa modeller automatisera hela angreppskedjor och därmed dramatiskt förändra förutsättningarna för både offensiv och defensiv cybersäkerhet.
EU har positionerat sig som global föregångare genom EU AI Act, ett av världens mest omfattande regelverk för artificiell intelligens. Men trots detta pekar både politiker och experter på att lagstiftningen i stor utsträckning bygger på traditionella riskmodeller – och inte fullt ut adresserar autonoma AI-system med offensiva cyberförmågor.
Problemet är inte nödvändigtvis bristen på regler, utan att de är utformade för en tidigare generation av hot. AI-modeller som kan hitta zero day-sårbarheter, skriva exploitkod och genomföra intrång utan mänsklig inblandning förändrar spelplanen i grunden. Samtidigt bygger mycket av dagens regelverk på efterlevnad och klassificering, snarare än operativ riskhantering i realtid.
Ur ett svenskt perspektiv är frågan särskilt relevant. Sverige har en hög digital mognad, en stor offentlig sektor med omfattande IT-beroende och en kritisk infrastruktur som i allt högre grad kopplas upp. Det gör landet både väl rustat – och potentiellt mer exponerat.
Regelverk som NIS2 och DORA skärper kraven på riskhantering och incidentrapportering, men de utgår i stor utsträckning från kända hotbilder och etablerade angreppsmönster. När AI nu kan användas för att skala upp attacker, minska tiden från sårbarhet till exploatering och automatisera intrång, uppstår ett glapp mellan regelverk och verklighet.
Det innebär att svenska organisationer riskerar att uppfylla regelkrav – men ändå vara sårbara mot nya typer av attacker.
En central slutsats i Politicos rapportering är att ansvaret i dag till stor del ligger på enskilda företag – och i vissa fall till och med på AI-bolagen själva – att avgöra hur och när avancerade modeller ska användas eller begränsas.
Det väcker frågor om styrning, transparens och kontroll. Vad händer om en aktör utan samma säkerhetsambitioner släpper en lika kapabel modell? Och hur ska europeiska myndigheter kunna utöva tillsyn över teknik som utvecklas och distribueras globalt?
För svenska verksamheter innebär detta att cybersäkerhet i allt högre grad behöver hanteras som en kontinuerlig affärsrisk snarare än en compliancefråga. Fokus förskjuts från att uppfylla regelverk till att bygga faktisk motståndskraft – där snabb prioritering, automatisering och förmåga att agera i realtid blir avgörande.
Politicos rapportering speglar en bredare utveckling där AI inte bara är ett verktyg för effektivisering, utan också en katalysator för ett mer komplext och snabbföränderligt hotlandskap. Samtidigt pågår en dragkamp inom EU om hur regelverken ska utvecklas vidare, där försök att justera AI-lagstiftningen redan har stött på politiska motsättningar.
För Sverige – och Europa i stort – handlar det nu om att gå från reglering till förmåga. I en värld där cyberangrepp kan genomföras i maskinhastighet räcker det inte att vara compliant. Frågan är i stället hur snabbt organisationer kan förstå, prioritera och hantera risker – innan de utnyttjas.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
