Nya säkerhetslagar sätter press på myndigheter och företag

INFORMATIONSSÄKERHET. GDPR följdes av NIS-direktivet och i vår kommer en uppdaterad säkerhetsskyddslagstiftning. Det är inte alla gånger lätt för företag och myndigheter att navigera i den nya lagdjungeln.

Richard Oehme, expert på cybersäkerhet hos PWC, tror att det kommer att ta tid för aktörerna att anpassa sig till de nya lagarna.
Richard Oehme, expert på cybersäkerhet hos PWC, tror att det kommer att ta tid för aktörerna att anpassa sig till de nya lagarna.
Johan Manell

Det blev en kort vila för företag och myndigheter efter att de genomfört GDPR. I augusti år 2018 kom den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som är en konsekvens av Sveriges implementering av EU:s NIS-direktiv (Network Information Security). Reglerna omfattar alla aktörer som levererar samhällsviktiga tjänster – och det är många.  

Totalt berörs sex sektorer. 403 aktörer inom energisektorn, 614 inom transportsektorn, 15 inom bank och finans, minst 69 inom hälso- och sjukvård, 230 inom dricksvatten och ett ännu okänt antal inom digital infrastruktur och tjänster. 

Ansvariga myndigheter för att se till att direktivet efterlevs är Energimyndigheten, Transportstyrelsen, Post- och telestyrelsen, Finansinspektionen och Inspektionen för vård och omsorg. Men det är upp till aktörerna själva att analysera vilka samhällsviktiga tjänster de har. Om de inte gör det, eller på andra sätt inte lever upp till kraven, riskerar de ett vite på upp till 10 miljoner kronor. Hittills har bara ett tjugotal av de fler än 1000 aktörerna gjort det. Så det återstår en del arbete, men någon tidsgräns finns inte.  

– Man måste räkna med att den här typen av större förändringar tar tid. Sedan blir det ett antal tillsyner. När folk inser att de får viten då kommer det att hända mer, säger Richard Oehme, expert på cybersäkerhet och kritisk infrastruktur på PWC till Altinget. 

Ny lag i vår

Men det blir ännu klurigare för företagen. I vår kommer nämligen den nya säkerhetsskyddslagen. Den är tänkt att förtydliga kraven på säkerhetskänslig verksamhet. En nyhet i den nya lagen är att säkerhetsskyddsklassificerade uppgifter ska delas in fyra olika säkerhetsskyddsklasser.  

1) Kvalificerat hemlig vid en synnerligen allvarlig skada 

2) Hemlig vid en allvarlig skada 

3) Konfidentiell vid en inte obetydlig skada 

4) Begränsat hemlig vid endast ringa skada 

Olika delar berörs

För många aktörer kan olika delar av verksamheten beröras av NIS-direktivet, andra av säkerhetsskyddslagen och det gäller att veta vad som är vad, för olika uppgifter ska rapporteras till olika myndigheter.

–  Först har du krisberedskapen, sen kommer totalförsvar som består av militärt och civilt försvar. Du måste se de här nivåerna tillsammans. Sen skär olika lagar ned på olika sätt i den här pannkakan för att fånga upp det här och trycka på vissa saker man tycker är särskilt viktigt, säger Oehme och fortsätter: 

– En större kommun kan bli tillsynad av 6-7 myndigheter. Det kanske inte är så ovanligt för stora företag men för det offentliga kan det här vara ganska annorlunda.  

Gedigen flora av tillsynsmyndigheter

När det gäller tillsynen av säkerhetsskyddslagens efterlevnad blandas ytterligare myndigheter in. Försvarsmakten, Säkerhetspolisen, Svenska Kraftnät och länsstyrelserna blir tillsammans med Transportstyrelsen och Post- och telestyrelsen ansvariga. Åtminstone än så länge. Så sent som i förra veckan kom nämligen en utredning om tillägg i den nya lagen, som ännu inte har trätt i kraft. I det förslaget samordnas länsstyrelsernas tillsynsuppdrag till fyra av länsstyrelserna. Samtidigt vill utredaren Stefan Strömberg att Försvarets materielverk, Finansinspektionen, Energimyndigheten och Strålsäkerhetsmyndigheten ska läggas till som tillsynsmyndigheter.  

Svårt att navigera

Med GDPR, NIS och ny säkerhetsskyddslag sätts företag och myndigheter under kort tid på prov. Richard Oehme varnade redan i juli år 2018 i en debattartikel på Altinget för att de många nya reglerna kan skapa osäkerhet och att det är viktigt att de behandlas sammanhållet. 

Läs också: Oehme: "Många nya regler för cybersäkerhet skapar osäkerhet" (2 juli 2018)

Det återstår att se hur aktörerna klarar av de höjda kraven på informationssäkerhet. Men redan nu står det klart att det kommer att kräva stora resurser och pengar för aktörerna att anpassa sig till de nya reglerna och för myndigheterna att säkra tillsynen.  

– Det kommer det att göra men att inte ha säkerhet kostar också mycket pengar, säger Richard Oehme.

Nämnda personer

Richard Oehme

Senior rådgivare cybersäkerhet Knowit, ordförande Soff:s cyberförsvarsgrupp
fil.kand. statsvetenskap (Stockholms uni. 1988)

E-postPolitik på allvar

Få GRATIS nyheter och en daglig politisk överblick från Altinget

0:000:00