Nästa år ökar kraven på kritisk infrastruktur

2017-09-05 06:00  

NIS-direktivet ställer krav på att leverantörer av samhällskritisk infrastruktur har tillräcklig informationssäkerhet. Men direktivet har inte fått tillräcklig uppmärksamhet, anser Albin Zuccato på Atea.

Varje myndighet har i dagsläget själv ansvar för sitt eget informationssäkerhetsarbete. Någon tillsynsmyndighet finns inte ännu, men aktualiseras i och med att NIS-direktivet nu ska införas.

NIS-direktivet ska införas i hela EU från 2018 för att stärka skyddet av samhällskritisk infrastruktur. Hackerattacker har vid flera tillfällen lamslagit viktiga funktioner. Direktivet innebär att leverantörer av sådan infrastruktur ska ha tre olika delar på plats: ett ledningssystem för it-säkerhet, ett kontinuitetssystem och en incidentrapportering.

Myndigheten för samhällsskydd och beredskap (MSB) ser gärna att myndigheten själv får tillsynsansvaret, påpekar Margareta Palmqvist, enhetschef på MSB.

I betänkandet föreslår dock särskilde utredaren Stefan Strömberg att sex myndigheter ska dela på tillsynsansvaret för sju olika sektorer (se faktaruta). Så väl Livsmedelsverket och Inspektionen för vård- och omsorg har i sina remissvar uttryckt att de inte har den kompetens som krävs för tillsynsuppdraget.

Läs mer:

Läs mer: Myndigheternas data stannar kvar i Sverige

Stefan Strömberg är inte främmande för att låta MSB få hela tillsynsuppdraget, men han tycker inte att det är lämpligt att bryta ut informationssäkerhet och göra det till en specialdisciplin.

– Dessutom är utredningsuppdraget och tidsramen sådan att det inte finns utrymme för några större organisatoriska förändringar, säger han.

NIS-direktivet ska vara infört i svensk lagstiftning senast den 10 maj 2018. Albin Zuccato, chef för affärsområdet säkerhet på it-konsultbolaget Atea, konstaterar att direktivet inte fått samma uppmärksamhet som GDPR som handlar om skydd av personuppgifter.

– Det handlar mycket om de olika nivåerna på böter. För NIS handlar det om maximalt 10 miljoner kronor, för GDPR om upp till cirka 200 miljoner kronor eller fyra procent av omsättningen. Så det är på en helt annan nivå, säger han.

Stefan Strömberg håller med om detta, men menar att det nog beror på att GDPR berör betydligt fler områden i samhället, inte bara utvalda sektorer.

Läs mer om it-skandalen här!

Albin Zuccato uppskattar att implementeringen av NIS-direktivet för ett genomsnittligt företag kostar omkring 5–6 miljoner kronor. Antalet leverantörer som berörs är svårt att säga men förmodligen flera tusen, menar han.

Han tycker att medvetenheten kring it-säkerhet fortsatt inte är tillräckligt stor.

– Det finns en stor kompetensbrist konstaterad och en avsaknad av medvetenhet kring vilka utmaningar vi som samhälle står inför. Sverige har redan drabbats ganska hårt, vilket ett antal tydliga exempel visar. Som när en hackerattack slog ut Göteborgs hamn till en kostnad av 200 miljoner kronor.

Direktivet ska vara infört den 10 maj 2018. Börjar det bli bråttom?

– Det är lite bråttom. Men som jag säger till mina kunder: Det gäller att ha börjat arbeta med frågan. Säkerhet är inte en produkt, utan en process, säger han.

Rättelse: I en tidigare version av texten angavs ett annat maxbelopp för brott mot bestämmelserna i GDPR.

Föreslagna tillsynsmyndigheter

Regeringens särskilde utredare föreslår att dessa myndigheter ska ha tillsynsansvar för följande sektorer:

Energi: Statens energimyndighet

Transporter: Transportstyrelsen

Bankverksamhet: Finansinspektionen

Finansmarknadsinfrastruktur: Finansinspektionen

Hälso- och sjukvård: Inspektionen för vård och omsorg

Leverans och distribution av dricksvatten: Livsmedelsverket

Utredare föreslår också att Post- och telestyrelsen ska ha tillsynsansvar för området Digitala tjänster.

Källa: Betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster.

Johan Kristensson

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt