Fråga 2020/21:3561 Inrapporterade it-incidenter

av Lars Hjälmered (M)

till Statsrådet Mikael Damberg (S)

 

Sedan den nya säkerhetsskyddslagen trädde i kraft 2018 har noll it-incidenter inom kritisk infrastruktur rapporterats in till Post- och telestyrelsen. Lagen, som är en del av NIS-direktivet och som ska stärka IT-säkerheten hos kritisk infrastruktur, gör gällande att aktörer som levererar samhällsviktiga tjänster måste rapportera in om en it-incident orsakar störningar.

Dessvärre tros mörkertalet vara stort. Myndigheten för samhällsskydd och beredskap, MSB, uppskattar att uppemot hälften av de incidenter som inträffar inte rapporteras in.

Post- och telestyrelsen, PTS, som är en av tillsynsmyndigheterna för NIS-direktivet har inte på tre år fått in en enda incidentrapport från de tolv aktörer de ansvarar för att övervaka. PTS har på grund av detta valt att inleda en granskning för att ta reda på vad detta beror på hos de aktörer de ansvarar för att övervaka.

Under 2020 inkom totalt 87 rapporter från de drygt 560 aktörer som är skyldiga att anmäla it-incidenter enligt NIS-direktivet. MSB gör bedömningen att det bör vara betydligt fler, bland annat för att det exempelvis finns aktörer inom vissa sektorer som inte lämnat in en enda rapport, trots att aktörer med liknande verksamhet gjort det.

Med anledning av detta vill jag fråga statsrådet Mikael Damberg:

 

Avser statsrådet att vidta några åtgärder för att se över att skyldigheten att inrapportera it-incidenter fungerar som den ska och att alla med rapporteringsskyldighet lever upp till sitt uppdrag?