Starka kritiken mot nya säkerhetslagen – ”börjar i fel ände”

Allt fler företag och myndigheter kommer att få allt tuffare rapporteringskrav på sig vad gäller cybersäkerheten. De som bryter mot reglerna riskerar kännbara böter, precis som i fallet med GDPR. Så kan man sammanfatta EU:s nya NIS2-direktiv som nu är antaget och ska rullas ut i medlemsländerna de närmaste åren.

Från EU-håll talas det om NIS2-direktivet som ett viktigt steg för att hela unionen ska höja sin cybersäkerhetsnivå, stärka motståndskraften och kapaciteten att hantera incidenter.

Men den svenska cyberexperten Patrik Fältström, som är teknik- och säkerhetsskyddschef på Netnod, är inte imponerad av det nya rättesnöret som ska ligga till grund för Sveriges lagstiftning på området framöver. Tvärtom är han kritisk till flera delar av både det nya NIS2 och föregångaren NIS: Att börja med piska (böter om man inte uppfyller kraven) och inte morötter är fel ände att utgå från. Men framför allt menar Patrik Fältström att de båda säkerhetsdirektiven är otillräckliga och bara tar upp en liten del av det säkerhetsarbete som organisationer måste göra eller få hjälp med.

– Om man ser på NIS2 tillsammans med NIS, så är jag negativ eftersom de bara adresserar ett problem, nämligen inrapporteringen. Det täcker inte vilken hjälp de som drabbas av en incident kan få och inte hur man ska gå tillväga för att andra ska kunna dra lärdomar av det som skett.

Missar viktig lärdom

Patrik Fältström exemplifierar med att en organisation som utsätts för en incident skulle rapportera in detta till till Cert-SE, men att de sedan inte får några förslag på vad de ska göra. Inte heller täcks frågor som vilken hjälp en drabbad organisation kan få av Polisen eller Nationellt cybersäkerhetscenter. Men det han framför allt saknar är den delen som handlar om att lära sig av incidenter och sprida kunskapen till andra organisationer.

– Kontinuerligt säkerhetsarbete är som en cirkel, där man ser vad som hände, arbetar fram förslag på åtgärder och implementerar åtgärder för att det inte ska hända igen. NIS2 täcker bara en del av den cirkeln, nämligen inrapporteringen, det är det som är det grundläggande problemet.

Om man bryter mot de tuffare rapporteringskraven på sådant som riskanalys av it-systemen, inköp, utveckling och underhåll av systemen och så vidare riskerar man böter på upp till 10 miljoner euro eller 2 procent av den totala omsättningen, enligt det nya direktiven.

– Min erfarenhet är att det är bättre att börja med morötter än piskor i form av tvång och sanktioner. I förlängningen behövs både och, men det är bättre att börja med morötterna, säger Patrik Fältström.

It-haverikommission bättre idé

Morötter som skulle kunna sporra organisationer att förbättra sitt cybersäkerhetsarbete kan vara en It-haverikommission som gör tydliga utredningar om incidenter, och sprider lärdomarna från dessa brett så att alla kan skydda sig. Han drar en parallell till flygindustrin:

– Där har industrin bestämt sig för att ett fel bara ska kunna inträffa en gång i sektorn. Om ett flygbolag har problem med landningställen så får alla i branschen information om det. I it-världen verkar det snarare som att alla ska drabbas en gång av samma problem. Det här måste bort, det är för dyrt.

En annan nyhet i NIS2 jämfört med föregångaren är att det täcker betydligt fler branscher. NIS täcker energi, transport, vatten, hälso- och sjukvård, digital infrastruktur och finans och NIS2 kommer att gälla betydligt bredare med tillverkare av kritiska produkter som medicinutrustning, avlopps- och avfallshantering, offentlig förvaltning, livsmedelsproduktion och så vidare.

– Jag tror inte det gör vare sig till eller från, säger Patrik Fältström. Generellt är det bra om alla branscher hanteras lika och på det sättet är det välkommet om det täcker flera branschen. Harmonisering brukar vara bra.

Dags att förbereda sig

Nu när NIS2-direktivet är antaget på EU-nivå så ska det skickas ut till medlemsländerna som sedan har 21 månader på sig att införa bestämmelserna i sin nationella lagstiftning. Här ser Patrik Fältström en potential för Sverige att täppa till de luckor som han menar är inbyggda i själva direktivet.

– Nu kommer det här att utredas och hittills har det inte diskuterats hur det här ska implementeras i Sverige. Jag hoppas att uppdraget inte blir snävt, utan att det också tar upp de här delarna med till exempel morötter i kombination med tvången.

Hur väl är då svenska organisationer i allmänhet rustade för att möta de hårdare rapporteringskrav och eventuella sanktioner som NIS2 kommer att föra med sig?

– Det är väldigt varierande, precis som det var när gdpr infördes. En del är förberedda, andra är det inte. En del tror att de är det. Men det man kan säga är att de som inte är redo, de får det tufft. Man måste ha ett kontinuerligt säkerhetsarbete, då har man incidenthanteringsrutinerna på plats.