Reportage

Sju skyddsvärda områden får krav på informationssäkerhet

Ny lag om informationssäkerhet berör sju skyddsvärda områden. Ingen absolut sekretess för IT-incidentrapporter. Det är några förslagen i utredningen om Nis-direktivet.

Utredaren Stefan Strömberg, tidigare rikspolischef, konstaterar att ett huvudsyfte är att få saker att fungera, få kontinuitet i informationssäkerhetsarbetet.

– Det ska inte behöva vara så komplicerat när det handlar om sunt förnuft, säger Stefan Strömberg.

EUs Nis-direktiv (nätverk och informationssystem) trädde i kraft förra året. Utredningens uppgift har varit att föreslå hur det ska genomföras i Sverige.

Förslaget är en ny lag och förordning som innebär att krav på informationssäkerhet, tillsyn och IT-incidentrapportering införs i sju olika sektorer samt för leverantörerna av digitala tjänster.

De sju sektorer med skyddsvärda tjänster som föreslås omfattas samt vilka som ska göra tillsyn av verksamheterna är:

  • Energi – Energimyndigheten
  • Transporter – Transportstyrelsen
  • Bankverksamhet – Finansinspektionen
  • Finansmarknadsinfrastruktur – Finansinspektionen
  • Hälso- och sjukvård – Inspektionen för vård och omsorg
  • Leverans och distribution av dricksvatten – Livsmedelsverket
  • Digital infrastruktur – Post- och telestyrelsen

Även leverantörer av digitala tjänster omfattas av förslagen. Med det avses marknadsplatser där utbud från flera näringsidkare kan nås, exempelvis Blocket. Näringsidkare som erbjuder varor och tjänster på egen webbplats omfattas inte. Post- och telestyrelsen föreslås som tillsynsmyndighet av digitala tjänster.

– Vi ska se till att lagen träder i kraft och fungerar i maj nästa år. Justitiedepartementet har fått begränsad tid att tycka till, precis som vi. Förmodligen blir det inga större förändringar jämfört med förslaget, säger Stefan Strömberg

Tidigare har statliga myndigheter haft krav på IT-incidentrapportering. Nu gäller det även kommuner, landsting och privat näring inom de sju sektorerna.

De som ska omfattas av bestämmelserna är beroende av nätverk eller informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

– Det är inte all verksamhet inom sektorerna som är intressant. För de som omfattas gäller att det hos dem finns tekniska och organisatoriska åtgärder, systematiskt informationssäkerhetsarbete, görs riskanalyser och att incidenter med betydande inverkan på kontinuiteten i tjänsten rapporteras.

Vad är viktigt för de som omfattas av lagen?

– Att bilda sig en uppfattning om hur man omfattas. Alla borde inse, och det hoppas jag att de gör, att detta måste tas på allvar. Många har teknik med mera för att hantera säkerhet, men inte kunskap i ledningen. Det visade sommarens händelse exempel på.

MSB anser i sitt remissvar att det behövs en mer samordnad tillsyn där MSB borde ges en vägledande roll.

– Det har också funnits synpunkter att det vore enklare om en myndighet sköter tillsynen. Skälet till att vi inte vill ändra för mycket är att vi inte vill göra det här till en specialgren utan att informationssäkerheten mer blir en naturlig del av övrig verksamhet. Utförande av tillsyn innebär att man kontrollerar att regelverket följs.

Tillsynsmyndigheterna beslutar om sanktionsavgifter för den som underlåter att rapportera incidenter eller att vidta säkerhetsåtgärder.

MSB ville också se absolut sekretess för IT-incidentrapporter, särskilt för de känsligaste uppgifterna.

– Vi har tittat på hur myndigheter och domstolar hittills sett på frågorna om sekretess. Domstolar har följt önskemål om sekretess vid behov, därför ser vi inget behov av att skärpa bestämmelserna.

MSB får som uppdrag att ha en samlad bild av NIS-direktivets genomförande och tillämpning, bland annat genom att leda ett samarbetsforum där alla tillsynsmyndigheter ingår. MSB ska erbjuda metodstöd för tillsyn, ska som tidigare ta emot incidentrapporter, är nationell kontaktpunkt och ska vidarerapportera till EU.

– MSB har en central roll, det var också förutskickat i direktiven till utredningen.

Vem ska göra tillsyn av tillsynsmyndigheterna?

– Där bör MSB, Polisen och Försvarsmakten ha en roll.

Strömgren fick frågan vilka krav regleringsbreven ställer på myndigheterna i sammanhanget.

– Regleringsbrev är vackra dokument, var svaret.

Vad pratas då om mellan verkschefer och departement om det inte är uppföljning av regleringsbrev?

– Ska jag nog inte säga, det kan bli en knivsudd av raljerande.