Regeringen har lagt fram en proposition för att genomföra NIS-direktivet i svensk lagstiftning. Detta har sin bakgrund i att Europaparlamentet och rådet 2016 antagit ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU, det s.k. NIS-direktivet. I syfte att genomföra NIS-direktivet i svensk rätt föreslår regeringen en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster.
Den nya lagen innebär bl.a. att vissa leverantörer av samhällsviktiga och digitala tjänster ska vidta säkerhetsåtgärder till skydd för säkerheten i nätverk och informationssystem: att leverantörerna ska rapportera incidenter som påverkar kontinuiteten i tjänsterna, att den myndighet som regeringen bestämmer ska utöva tillsyn över att lagen och föreskrifter som har meddelats i anslutning till den följs och ska kunna besluta om vitesföreläggande och sanktionsavgift mot den som inte följer lagens bestämmelser.
Hoten mot den svenska cybersäkerheten torde vid det här laget vara välbekanta. Skandalen på Transportstyrelsen, Polismyndighetens beslut att frångå säkerhetsskyddsförordningen, Uppdrag gransknings avslöjande att cancerbehandlingen på Akademiska sjukhuset i Uppsala stängts av med en cyberattack och det faktum att Myndigheten för press, radio och tv betalat lösensummor till it-utpressare är alla exempel på hur utsatta vi är. Lägg där till att Sverige enligt FRA varje dag drabbas av attacker från främmande makt, att MSB rapporterat in 260 it-incidenter och att upp till 10 000 attacker bedöms begås mot svenska intressen varje månad.
Attackerna kan begås av kriminella, terrorister eller stater med en fientlig inställning mot Sverige. I Försvarsberedningens rapport står att ”ett systematiskt informations- och cybersäkerhetsarbete är nödvändigt för att samhällets aktörer ska kunna upprätthålla en väl avvägd cyberförmåga i totalförsvaret”. I dag är det systematiska arbetet uppdelat bland en mängd olika myndigheter, vilket också beredningen konstaterar: ”Det ställs krav på aktörernas informations- och cybersäkerhet från t.ex. MSB, Säpo, Datainspektionen, Post- och telestyrelsen. Med NIS-direktivets införande kommer även sektorsansvariga myndigheter att utöva tillsyn och då ökar risken ytterligare för ineffektiv verksamhet och otydlighet i roller och ansvar. Sammanlagt innebär detta att vi kommer ha sex stycken olika tillsynsmyndigheter för informations- och cybersäkerhet. Försvarsberedningen anser att regeringen bör se över hur tillsyn och övervakning gällande informations- och cybersäkerhet i samtliga civila sektorer ska samordnas.”
Kristdemokraterna delar insikten att den svenska cyber- och informationssäkerheten är i stort behov av förbättring. NIS-direktivet innebär att sådana steg har tagits på EU-nivå och vi är positiva till detta. Vi delar regeringens uppfattning att en ny lag krävs för att adekvata säkerhetsåtgärder ska vidtas för att skydda säkerhet i nätverk och informationssystem, att incidentrapportering ska ske samt behovet av goda föreskrifter, en bra uppföljning och tillsyn och behovet av viten och sanktioner mot den som bryter mot detta. Det vore också väl värt att beakta det arbete Sverige gör inom Iso-standardiseringen, där vi varit med och tagit fram ledande standarder för styrning av cybersäkerhet, som Iso/IEC 27001. När krav ställs på privata aktörer gällande cyber- och informationssäkerhet kan dessa standarder innebära ett effektivare och enklare sätt att ställa krav än ny lagstiftning eftersom de är antagna europeiska standarder som utgör norm på området. Vi delar däremot inte regeringens hållning att det är lämpligt att dela upp detta ansvar på flera olika myndigheter.
Regeringens förslag innebär en fragmentering av det svenska arbetet med cybersäkerhet och saknar dessutom en modell för operativt stöd. Fragmenteringen består i att sex olika myndigheter, Statens energimyndighet, Transportstyrelsen, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket och Post- och telestyrelsen alla föreslås bli tillsynsmyndigheter. Det innebär att samma kompetens och parallella arbetsmetoder för att åstadkomma samma sak ska upprättas på sex olika myndigheter, i stället för att koncentreras till en egen myndighet. Att utöva tillsyn kring cyber- och informationssäkerhet kräver expertkunskap, och sådan kunskap är både hett eftertraktad och relativt sällsynt. En tillsynsmyndighet behöver vara en attraktiv arbetsplats som erbjuder spetskompetens. Vi ser en betydande risk att detta inte uppnås om arbetet inte samlas under samma tak.
Bristen på operativt stöd är ett annat problem. En del i NIS-direktivet innebär att alla länder ska inrätta ett organ för incidenthantering, ett Computer Security Incident Response Team, i propositionen kallad CSIRT-enhet, dit incidenter kan rapporteras. Det är av yttersta vikt att påpeka att denna enhet inte kommer att bidra med ett operativt stöd för att hantera de incidenter som samhällsviktiga aktörer rapporterar in. Vi menar att detta är en stor brist i regeringens förslag och att en cybersäkerhetsmyndighet också bör agera som ett operativt stöd. Det är ett annat skäl till att inte fragmentisera tillsynsarbetet. Vi anser att en svensk cybersäkerhet bör ha ett stort mandat att agera, och därmed krävs också en stor samlad kompetens.
Vår syn, baserad på forskning och utbyte med näringsliv och myndigheter, är att det inte är ändamålsenligt eller kostnadseffektivt att låta de många olika sektorsmyndigheterna ha tillsynsansvaret för nätverks- och informationssäkerhet inom respektive sektor. Det finns flera problem med den föreslagna ordningen. För det första finns det en överhängande risk att sektorsmyndigheterna inte kommer att kunna säkra den kompetens som krävs för en god tillsyn eftersom omfattande kompetensbrist råder på marknaden. För det andra kommer tillsynsorganisationer och revisionsmetodik i onödan att utvecklas på olika håll, vilket driver kostnader. För det tredje går de stordriftsfördelar som kan uppnås genom att en och samma tillsynsmyndighet handhar all tillsyn förlorade. Slutligen blir det stor gränsdragningsproblematik mellan myndigheter som exempelvis MSB, Säkerhetspolisen, Datainspektionen, PTS och sektorsmyndigheterna – där ett och samma it-system och verksamhetsdel kan täckas in av flera olika krav kring säkerhetsåtgärder, incidentrapportering och tillsyn. Man kan förvänta sig överlappningar samt att delar faller mellan olika ansvarsområden.
I stället bör all tillsyn gällande informationssäkerhet och dataskydd – för samtliga civila sektorer och gentemot samtliga författningar – koncentreras till en cybersäkerhetsmyndighet. Tillsynen skulle riktas enligt sektorsmyndigheternas behov och resultatet av tillsynen och incidentrapporter skulle delas med dem.
Kristdemokraterna anser att den fragmentariska organiseringen av cybersäkerheten minskar vår förmåga att skydda oss mot hot mot vår cyber- och informationssäkerhet. Varje enskild myndighet med tillsynsansvar är i sig för liten och arbetar mot en för avgränsad sektor för att kunna upprätthålla den samlade kompetens och förmåga som krävs för att skydda hela samhället. Cybersäkerhet är en expertkunskap och den behöver samlas på en plats, en egen cybersäkerhetsmyndighet.
Vi föreslår att en sådan myndighet ska ha ett mycket brett uppdrag. Cybersäkerhet är inte enbart en militär fråga, utan den är också i allra högsta grad aktuell för försörjning av el och vatten, banksystem m.m. Vi föreslår därför en stegvis uppbyggnad av myndigheten.
I försvarsbeslutet från 2015 står att den samlade svenska förmågan att förbygga, motverka och aktivt hantera konsekvenser av civila och militära hot, händelser, attacker och angrepp i cybermiljön måste utvecklas och förstärkas. Regeringen anför vidare att ett svenskt cyberförsvar kräver samordning och koordinering av kompetenser, samt utpekade och inövade beslutsvägar, mellan olika myndigheter och samhällsfunktioner.
Kristdemokraterna menar att svaret på den frågan stavas en ny cybersäkerhetsmyndighet.
Andreas Carlson (KD) |
|
Sofia Damm (KD) |
Mikael Oscarsson (KD) |
Tuve Skånberg (KD) |
|