För att samhället i dag ska fungera förlitar vi oss på en lång rad leverantörer av digitala tjänster. Leverantörer som från och med nästa år kommer att omfattas av tydligare säkerhetskrav och en skyldighet att rapportera allvarliga it-incidenteter. Till exempel berörs molnleverantörer, sökmotorer och digitala handelsplatser. Allt enligt en utredning som presenterades för inrikesminister Anders Ygeman under tisdagen.
Det som föreslås är alltså ny lagstiftning för det som kallas samhällsviktiga tjänster samt vissa digitala tjänster. Lagstiftning som utgår från NIS-direktivet, ett EU-direktiv med syfte att uppnå en hög gemensam it-säkerhetsnivå inom unionen. Samt att harmonisera medlemsstaternas nuvarande lagstiftning för att underlätta för marknaden. Utredningen lämnar förslag på detta direktiv ska genomföras i Sverige.
Sedan tidigare har nya regler kring hur myndigheter ska rapportera it-incidenter införts. Nu handlar det om privata aktörer vars verksamhet på ett eller annat sätt utgör en viktig del av den digitala infrastrukturen. Leverantörerna återfinns i sju så kallade skyddsvärda sektorer: energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten och digital infrastruktur. De utgör gruppen samhällsviktiga tjänster.
Därtill kommer också leverantörer av vissa digitala tjänster. Alltså företag som erbjuder tjänster så som internetbaserade marknadsplatser, sökmotorer eller molntjänster. Den typen av företag är inte direkt viktiga för samhället, men kunder som faller inom de ramarna kan vara beroende av deras tjänster för att deras verksamhet ska fungera. För att nämna ett exempel: många myndigheter, företag och kommuner använder i dag Google molntjänster för sin kommunikation. Går den tjänsten ner kan det innebära stora inverkan på deras verksamhet, och samhället. Värt att nämna är att telekomoperatörer uttryckligen är undantagna NIS-direktivet.
Nyckelordet här är kontinuitet. Leverantörer som omfattas av lagstiftningen är inte skyldiga att rapportera minsta intrång i deras tjänster. Där skiljer sig förslaget från reglerna kring myndigheternas rapporteringskrav. Här handlar det istället om händelser som har haft tydlig inverkan på deras verksamhet. Till exempel om en angrepp slagit ut elnätet, eller om en uppdatering gjort att kommunerna inte kommer åt sin epost.
– Det man ska ha klart för sig är att det ska handla om en betydande eller avsevärd inverkan på kontinuiteten i den tillhandahållna tjänsten. Statliga myndigheter ska redan idag rapportera incidenter som allvarligt kan påverka säkerheten i deras informationshantering, eller i tjänster som myndigheten tillhandahåller. Leverantörer av samhällsviktiga eller digitala tjänster kommer att behöva rapportera bara om incidenten faktiskt påverkar verksamheten, säger utredningssekreterare Malin Stensbäck.
En annan skillnad från hur det ser ut i dag är att de här leverantörerna också blir ansvarig inför en tillsynsmyndighet. Och om regelverket inte följs kan den ansvariga myndigheten införa sanktioner och besluta om vite för leverantören. Ansvarig för digitala tjänster föreslås Post- och telestyrelsen bli. Leverantörerna inom digital infrastruktur likaså. Till den gruppen räknas till exempel företag som Netnode och andra företag som levererar så kallade internetknutpunkter, leverantörer av dns-tjänster och registreringsenheter för toppdomäner.
Läs också: Krav att rapportera it-haverier upprör experter – "Regeringen lyssnar inte"
Utöver kravet på rapportering måste leverantörerna ta fram tydliga åtgärder för potentiella risksituationer. När det gäller de samhällsviktiga tjänsterna ska de företagen gör en riskriskanalys som utgör grunden för valen av säkerhetsåtgärder. Den analysen ska dokumenteras och uppdateras varje år, samt innehålla en åtgärdsplan. Ansvarig myndighet kan löpande granska hur det arbetet går till och vid behov gripa in. Det kan de inte göra i fallet digitala tjänster, där kan de bara gripa i efterhand. De leverantörerna ska själva ta fram åtgärder som hanterar de risker som finns. Gemensamt för de båda tjänsterna är att de ska rapportera in incidenter till MSB, utan – som det står – onödiga dröjsmål.
Nu ska utredningens förslag ut på remiss, därefter ska ett konkret lagförslag tas fram. Regelverket föreslås träda i kraft 10 maj nästa år, i enlighet med NIS-direktivet.
