Det så kallade NIS-direktivet har i Sverige resulterat i förslag om en ny lag och en ny förordning för leverantörer av samhällsviktiga och digitala tjänster.
Rapportera incidenter
Leverantörerna föreslås bland annat bli skyldiga att ”vidta tekniska och organisatoriska säkerhetsåtgärder” och att rapportera allvarliga IT-incidenter till MSB.
Men MSB vill ha mer inflytande än så och skriver i sitt remissvar att man vill ha en ”tillsynsvägledande roll”, som omfattar även statliga myndigheter.
Arbeta riskbaserat
Man vill också se tydligare krav på att berörda aktörer ska arbeta ”systematiskt och riskbaserat med informationssäkerhet” och man vill att det införs en ”absolut sekretess” för IT-incidentrapporter.
NIS-direktivet innebär att krav på informationssäkerhet, tillsyn och it-incidentrapportering införs i sju olika sektorer samt för leverantörerna av digitala tjänster.
Sju sektorer
De sektorer som omfattas är energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten och digital infrastruktur.
En tillsynsmyndighet för varje sektor föreslås få ansvar för att övervaka att regelverket följs och se till att kraven i lagstiftningen får effekt på säkerheten. Tillsynsmyndigheten ska också få befogenhet att besluta om sanktioner.
