Nästa år ska it-säkerheten stärkas för både myndigheter och företag som levererar samhällsviktiga tjänster som dricksvatten, elektricitet och banktjänster. Orsaken är det så kallade NIS-direktivet från EU, som Sverige måste anpassa sig till.
I våras presenterades utredningen "Informationssäkerhet för samhällsviktiga och digitala tjänster" med en rad lagförslag som ska säkerställa att Sverige lever upp till EU:s krav. Under sommaren har utredningen varit ute på remiss, och senast den 10 maj 2018 måste nya lagar träda i kraft.
En central punkt i lagförslagen är att sex myndigheter ska få ansvar för sju sektorer av "samhällsviktiga tjänster", och utöva tillsyn över hur verksamheter inom respektive område sköter sin it-säkerhet.
Men två av de utpekade myndigheterna skriver i sina remissvar att de inte vill ha jobbet. Det är Livsmedelsverket, som ska ansvara för sektorn som förser och distribuerar dricksvatten, och Inspektionen för vård och omsorg, IVO, som ska ansvara för hälso- och sjukvårdssektorn.
Läs också: Därför hamnade Transportstyrelsens data utomlands
– Det här handlar inte om dricksvattnet, utan snarare om att ha tillsyn över system och systemens säkerhet. Det tycker vi är ett problem. Vi har varken kompetens eller organisation för det just nu, och det finns andra myndigheter som hade kunnat göra det här bättre, säger Per Ekegren som är avdelningschef på Livsmedelsverket.
– Sedan är det svårt att ta ställning till förslaget för det saknas en ordentlig konsekvensutredning. Man beskriver egentligen inte konsekvenserna för tillsynsmyndigheterna, vare sig ekonomiskt eller verksamhetsmässigt.
Inspektionen för vård och omsorg, IVO, ser också att tillsynsansvar för it-säkerhet ligger långt utanför myndighetens ordinarie verksamhet.
– När vi granskar journalföring, då granskar vi vad man antecknar. Inte hur, eller i vilka system. Som vi uppfattar det handlar lagförslaget om säkerheten i själva datasystemet, och det ligger långt vid sidan om vårt huvuduppdrag och kräver en helt annan kompetens, säger Ulrika Holfelt som är jurist på IVO.
– Det känns inte naturligt att ansvaret ska ligga hos oss. Vi föreslår istället att det ska ligga centralt på en myndighet, säger hon.
I dagsläget har båda myndigheterna svårt att svara på hur stor tillsynsverksamheten skulle behöva bli. Det beror på hur många företag och myndigheter som kommer att klassas som samhällsviktiga och därmed omfattas av lagstiftningen. Det utreds just nu av Myndigheten för samhällsskydd och beredskap, MSB, ihop med de tilltänkta tillsynsmyndigheterna.
Transportstyrelsen, som föreslås bli tillsynsmyndighet för transportsektorn, har inte avböjt jobberbjudandet, däremot slår de fast i sitt remissvar att det krävs mer resurser för att sköta jobbet. De räknar med en etableringskostnad på 10-15 miljoner, och sedan en löpande kostnad för tillsynen på runt 5-10 miljoner per år.
Läs också: Experterna efter it-skandalen - "Outsourcingen kommer att fortsätta växa"
"Vi beräknar i dagsläget att det kommer att krävas åtminstone 10-15 personer, en del kommer att kunna rekryteras internt, andra externt", skriver Tobias Ander som är säkerhetsansvarig på myndigheten i ett mejl till Computer Sweden.
Förslaget om att dela upp tillsynsansvaret på sex olika myndigheter möter inte bara motstånd inom den offentliga sektorn. It-säkerhetsföretaget Advenica skriver i ett remissvar att hela uppdraget bör samlas hos en myndighet, förslagsvis MSB.
– De olika verksamheterna står inför samma typ av hot, visst skyddar de olika typer av samhällsviktiga tillgångar men problemställningarna är samma. Det borde innebära "more bang for the buck" om man samordnar det här, säger Jonas Dellenvall som är teknisk chef på Advenica.
– Det finns också en ren kompetensbrist. Att bygga upp den här kunskapen på sex olika myndigheter, när det redan i dag är ett område där det finns mer efterfrågan på kompetens än det finns tillgång.
Han tror dock att det är för kort tid fram tills lagen måste träda i kraft för att de sex tillsynsmyndigheterna ska kunna bli en. Istället hoppas han att de utpekade myndigheterna ska samordna sin verksamhet.
– På kort sikt finns möjligheten att myndigheterna samordnar sin verksamhet så att de utnyttjar varandras kompetens. Det är det enda som är realistiskt att göra på den korta tiden som är, säger Jonas Dellenvall.
I våras presenterades utredningen "Informationssäkerhet för samhällsviktiga och digitala tjänster" med en rad lagförslag som ska säkerställa att Sverige lever upp till EU:s krav. Under sommaren har utredningen varit ute på remiss, och senast den 10 maj 2018 måste nya lagar träda i kraft.
En central punkt i lagförslagen är att sex myndigheter ska få ansvar för sju sektorer av "samhällsviktiga tjänster", och utöva tillsyn över hur verksamheter inom respektive område sköter sin it-säkerhet.
Men två av de utpekade myndigheterna skriver i sina remissvar att de inte vill ha jobbet. Det är Livsmedelsverket, som ska ansvara för sektorn som förser och distribuerar dricksvatten, och Inspektionen för vård och omsorg, IVO, som ska ansvara för hälso- och sjukvårdssektorn.
Läs också: Därför hamnade Transportstyrelsens data utomlands
– Det här handlar inte om dricksvattnet, utan snarare om att ha tillsyn över system och systemens säkerhet. Det tycker vi är ett problem. Vi har varken kompetens eller organisation för det just nu, och det finns andra myndigheter som hade kunnat göra det här bättre, säger Per Ekegren som är avdelningschef på Livsmedelsverket.
– Sedan är det svårt att ta ställning till förslaget för det saknas en ordentlig konsekvensutredning. Man beskriver egentligen inte konsekvenserna för tillsynsmyndigheterna, vare sig ekonomiskt eller verksamhetsmässigt.
Inspektionen för vård och omsorg, IVO, ser också att tillsynsansvar för it-säkerhet ligger långt utanför myndighetens ordinarie verksamhet.
– När vi granskar journalföring, då granskar vi vad man antecknar. Inte hur, eller i vilka system. Som vi uppfattar det handlar lagförslaget om säkerheten i själva datasystemet, och det ligger långt vid sidan om vårt huvuduppdrag och kräver en helt annan kompetens, säger Ulrika Holfelt som är jurist på IVO.
– Det känns inte naturligt att ansvaret ska ligga hos oss. Vi föreslår istället att det ska ligga centralt på en myndighet, säger hon.
I dagsläget har båda myndigheterna svårt att svara på hur stor tillsynsverksamheten skulle behöva bli. Det beror på hur många företag och myndigheter som kommer att klassas som samhällsviktiga och därmed omfattas av lagstiftningen. Det utreds just nu av Myndigheten för samhällsskydd och beredskap, MSB, ihop med de tilltänkta tillsynsmyndigheterna.
Transportstyrelsen, som föreslås bli tillsynsmyndighet för transportsektorn, har inte avböjt jobberbjudandet, däremot slår de fast i sitt remissvar att det krävs mer resurser för att sköta jobbet. De räknar med en etableringskostnad på 10-15 miljoner, och sedan en löpande kostnad för tillsynen på runt 5-10 miljoner per år.
Läs också: Experterna efter it-skandalen - "Outsourcingen kommer att fortsätta växa"
"Vi beräknar i dagsläget att det kommer att krävas åtminstone 10-15 personer, en del kommer att kunna rekryteras internt, andra externt", skriver Tobias Ander som är säkerhetsansvarig på myndigheten i ett mejl till Computer Sweden.
Förslaget om att dela upp tillsynsansvaret på sex olika myndigheter möter inte bara motstånd inom den offentliga sektorn. It-säkerhetsföretaget Advenica skriver i ett remissvar att hela uppdraget bör samlas hos en myndighet, förslagsvis MSB.
– De olika verksamheterna står inför samma typ av hot, visst skyddar de olika typer av samhällsviktiga tillgångar men problemställningarna är samma. Det borde innebära "more bang for the buck" om man samordnar det här, säger Jonas Dellenvall som är teknisk chef på Advenica.
– Det finns också en ren kompetensbrist. Att bygga upp den här kunskapen på sex olika myndigheter, när det redan i dag är ett område där det finns mer efterfrågan på kompetens än det finns tillgång.
Han tror dock att det är för kort tid fram tills lagen måste träda i kraft för att de sex tillsynsmyndigheterna ska kunna bli en. Istället hoppas han att de utpekade myndigheterna ska samordna sin verksamhet.
– På kort sikt finns möjligheten att myndigheterna samordnar sin verksamhet så att de utnyttjar varandras kompetens. Det är det enda som är realistiskt att göra på den korta tiden som är, säger Jonas Dellenvall.
