Anders Ygeman, inrikesministerEUs NIS-direktiv som trädde i kraft i augusti säger att företag inom kritiska sektorer och offentliga förvaltningar ska åläggas att bedöma risker och skyldiga att underrätta berörda myndigheter om incidenter som utgör hot mot deras nät- och informationssystem och allvarligt påverkar kritiska tjänster.

Sedan april är statliga myndigheter i Sverige skyldiga att incidentrapportera. På frågan om det blir tvingande även för företag och kommuner svarade Anders Ygeman:

– Över tid, ja. Men först måste vi bygga ett ömsesidigt förtroende. Det finns ett gap mellan myndigheter och företag. Företag tror att de riskerar säkerhetshål om information lämnas till myndigheter. Det är ingen hemlighet att banker inte överrapporterat intrång. Det behövs en kulturförändring, och den kommer inte med lagförslag utan med kommunikation och ömsesidigt förtroende.

Det handlar också om att se nyttan, menade Ygeman.

– Om två kommuner drabbas av attacker är det väldigt mycket bättre om de 288 andra kan dra slutsatser, istället för att information hålls hemlig och till slut väldigt många blir utsatta för den typen av attacker.

För att informationssäkerheten ska höjas behöver den bli mer användarvänlig anser Ygeman.

– När de som säljer säkerhet bara tänker säkerhet och inte skapar lösningar som är integrerade med användarnas verklighet, då har det visat sig inte funka. Lägger man på krångel för användare ökar inte intresset.

Säkerheten måste stödja behoven, inte motarbeta dem. All information behöver inte samma skydd, framhöll Ygeman.

– Då blir det så krångligt till slut att ingen kan leva upp till villkoren. Alla kan inte jobba inom någon bunker på FRA med skrivmaskin för att klara säkerheten. Samtidigt måste vi bli bättre att bedöma hur skyddsvärd vår information är och vilken som är mest skyddsvärd.

I förslaget till ny säkerhetslag föreslås flera förändringar för den mest skyddsvärda verksamheten. Att använda externa leverantörer är en fråga.

– Vi ska ha bättre skydd för verksamhet som rör rikets säkerhet och att säkerhetskänslig verksamhet i högre omfattning drivs i egen regi.

Nyhetsbyrån Siren överklagade tidigare i år ett beslut från MSB att inte lämna ut vissa uppgifter från incidentrapporteringen. Kammarrätten ansåg att uppgifterna omfattas av sekretess och avslog överklagan.

– Vi anser uppgifterna är skyddsvärda och kammarrättens dom gick vår väg. När vi fått fullständig klarhet i rättsläget kan myndigheterna rapportera in ännu mer, säger MSBs generaldirektör Helena Lindberg.

Rapporteringskravet har gett nya verktyg att identifiera  informationssäkerhetens tillstånd och ger MSB möjlighet att minska risken att fler drabbas av olika former av intrång, konstaterade Helena Lindberg. Hon hoppades också att NIS-direktivet ska ge skjuts i informationssäkerhetsarbetet.

– Vi offentliga måste bli bättre på att samverka med privat verksamhet.