Så har då äntligen utredningen om införande av NIS-direktivet överlämnats till regeringen. ”Informations­säkerhet för samhällsviktiga och digitala tjänster, SOU 2017:36”

Förhoppningen var att detta äntligen skulle resultera i konkret handling för att förbättra samhällets cybersäkerhet. Utredning efter utredning har pekat på behovet – dessutom har omvärldsläget förändrats dramatiskt, vilket medför att skydd mot antagonistiska hot måste vara dimensionerande för vår cybersäkerhet.

Efter en första genomläsning av utredningen på 355 sidor så kan det konstateras att man hade hoppats på mer.

Den goda nyheten är att denna utredning faktiskt kommer att leda till ett explicit myndighetsansvar för frågan hos Myndigheten för samhällsskydd & beredskap (MSB) samt de utpekade sex till­syns­myndig­heterna.

Den dåliga nyheten är att målet med NIS – som är att höja nivån på cyberskyddet i EU – riskerar att missas i och med att det saknas viktiga delar som behövs för att faktiskt göra skillnad. De tusentals verksamheter som ska vidta åtgärder riskerar att sakna stöd och hjälp för att lyckas.

Övergripande innehåll i utredningen

Utredningen har strävat efter att realisera NIS-direktivets krav i det svenska rättssystemet. I utredningsdirektivet har det stått klart att befintliga ansvariga myndigheter ska behållas och att de legala anpassningar som behövs ska utredas. Därmed har MSB rollen som övergripande ansvarig myndighet, med sex specifikt utpekade myndigheter ansvariga för olika sektorer.

Läs också: Juristen: ”Det är hög tid att börja med GDPR-arbetet”

Fokus för utredningen har varit hur man lagtekniskt och organisatoriskt ska uppfylla NIS-direktivets bokstav. Man har dock missat när det gäller NIS-direktivets målsättning – att uppnå en hög nivå av säkerhet inom utpekade sektorer.

MSB har fått uppgiften att lista de samhällsviktiga verksamheterna. Antalet verksamheter är betydande även inom ett land av Sveriges storlek. Som exempel kan nämnas att det finns cirka 200 elföretag och cirka 160 elnätsföretag. Det totala antalet verksamhetsutövare som berörs i Sverige ligger gissningsvis mellan 1 000 och 10 000.

Incidentrapportering

Incidentrapportering är ett av de områden som beskrivs mest konkret. Det finns en del lärdomar att dra från den obligatoriska incidentrapportering för myndigheter som varit igång en tid. Tyvärr har dessa lärdomar inte påverkat förslaget i tillräcklig omfattning:

• Stort tolkningsutrymme kring vilka incidenter som ska rapporteras leder till otydlighet. Här behövs konkreta exempel från tillsynsmyndigheterna.

• Rapporteringsskyldiga har uttryckt oro kring risken för publicitet. Min erfarenhet är att vissa incidenter förblir orapporterade på grund av detta. Utredningen har blundat för detta problem genom att dra sina slutsatser baserat på de rapporter som faktiskt har lämnats in.

• Flera sektorer drabbas av dubbelrapportering, det vill säga att flera olika myndigheter ska ha incidentrapporter baserat på olika regelverk. Dessa borde samordnas så att identisk rapport kan lämnas till samtliga mottagare, eller ännu hellre att ett enda system kan leverera till samtliga mottagare. På det sättet undviks dubbelarbete i möjligaste mån.

Det här är en artikel från Expert Network

Bristfällig samordning mellan sektorer

De utpekade sektorernas verksamhet är olika till sin karaktär. Det dimensionerande hotet är dock identiskt. Likheterna mellan sektorerna i detta hänseende är större än olikheterna.

Det innebär att det borde vara möjligt att ha gemensamma arbetsmetoder och verktyg för risk- och sårbarhetsanalys, tekniska lösningar, erfaren­hets­åter­koppling med mera.

Bristen på samordning riskerar att leda till:

• Resursslöseri genom metodutveckling i stuprör inom varje sektor.
• Försämrad nationell säkerhetsnivå.
• Svårigheter att dra nytta av erfarenheter från andra sektorer.

Optimerad tillsyn istället för faktisk effekt

Utredningen utgår från regeringens skrivelse ”En tydlig, rättssäker och effektiv tillsyn”. I denna föreslås att tillsyn normalt inte ska omfatta råd om hur man uppfyller kravställningen. Dock finns en möjlighet till avsteg från denna princip. I detta specifika fall borde man maximalt utnyttja möjligheten att inkludera ”rekommendationer och vägledning” som en del av tillsynen.

Den korta tid som finns till förfogande, de tekniskt komplicerade frågeställningarna, det stora totala antalet verksamhetsutövare och den skriande kompetensbristen inte bara inom tillsyns­myndig­heter och verk­samhets­utövare utan nationellt som helhet gör det nödvändigt med konkret handledning för att uppnå en reell skillnad i skyddsnivå.

Utredningen har genom att optimera tillsynsfunktionen offrat det överordnade målet att höja säkerheten i utpekade sektorer.

Kompetensbrist

Utredningen konstaterar att ”Det som talar emot att utse flera tillsynsmyndigheter är att tillsyn när det gäller säkerhet i nätverk och informationssystem kräver expertkunskap. I dag finns inte den bredd och djup i kompetens som krävs inom alla tillsyns­myndig­heter”. Trots det skjuter man över ansvaret att förstå, analysera och genomföra de faktiska säkerhetshöjande åtgärderna på den enskilda verksamheten.

Detta skulle kräva expertkunskap på samtliga tusentals verksamheter – när man redan konstaterat att den inte finns ens på de sex till­syns­myndig­heterna. Hur denna kader av informations­säkerhets­experter ska dyka upp inom ett års tid är oklart. Den enda realistiska möjligheten är att gemensamma metoder tas fram som gör att arbetet på respektive verksamhet förenklas.

Läs också: Jonas Dellenvall: Sex steg för att ta kontroll över din it-säkerhet

Verksamhetens perspektiv saknas

Utredningens förslag försätter verksamheterna i en sits som inte är hållbar. Följande är de viktigaste skälen till detta:

• Otydlighet om vad som faktiskt ska göras. Det saknas riktlinjer om hur bedömning skall göras, exempel och förslag på lösningar. Det saknas även riktlinjer och exempel avseende incidentrapportering.

• Trots att verksamheterna utgör en förkrossande majoritet av berörda organisationer är deras perspektiv svagt belyst i såväl utredning som lagförslag.

• Vissa verksamheter berörs av incidentrapportering enligt flera olika regelverk som saknar samordning.

• Grundläggande krav på rättssäkerhet saknas när det gäller utdömande av sanktionsavgifter. En förutsättning för att sanktionsavgifter skall uppfattas som rättssäkra är att det är otvetydigt vad som är rätt respektive fel. Utredningens förslag riskerar att tillsynsmyndigheter utdelar sanktionsavgifter för fel och brister i verksamheter – där det inte på förhand är möjligt för verksamheterna att bedöma vad som förväntas av dem. Att en och samma organisation sitter på såväl kravställning som granskning och utdömande av sanktion leder sällan till en rättssäker tillämpning.

• MSB har ett samordningsansvar som innebär att tillsynsmyndigheterna får visst stöd, men än viktigare borde vara att se till att verksamheterna får stöd.

Möjliga felaktigheter

Ett fåtal underligheter i författningsförslaget förtjänar att nämnas:

• 32§: varför är underlåtenhet att genomföra riskanalys enligt 13§ exkluderat från sanktionsavgift?
• 28§: rimligen borde ”14, 15 eller 19 §§” vara den korrekta lydelsen då 16§ inte avser leverantörer av digitala tjänster.

Möjligheter

Givet den korta tid som finns till förfogande är det enda möjliga att göra mindre anpassningar inom ramen för förslaget. De viktigaste åtgärderna är:

• Sektorsövergripande samordning: samma problem – samma lösning.
• Branschsamarbeten.
• Se över tillsynsmyndigheternas möjlighet att tillgripa sanktionsinstrumentet.

Fakta

Jonas Dellenvall

Befattning: cto
Företag: Advenica
E-post: jonas_cto@advenica.com
Hemsida: www.advenica.com
Expertområden: Cybersäkerhet, informationssäkerhet, privacy, kritisk infrastruktur.
Bakgrund: Civilingenjör i teknisk fysik, 20 års erfarenhet av systemutveckling, varav 12 år inom högsäkerhetssegmentet för myndigheter, försvar och kritisk infrastruktur.