Det nya EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet) ska genomföras i svensk rätt senast år 2018. Regeringen har nu tillsatt en utredning för att se över lagstiftningen.
Direktivet träder troligen ikraft redan i vår och innehåller bland annat skyldigheter för varje medlemsstat att anta en nationell strategi för säkerhet i nätverk och informationssystem och att utse myndigheter ”med särskilda uppgifter på detta område”.
Medlemsstaterna är skyldiga att ha genomfört direktivet senast 21 månader efter att det har trätt i kraft.
Nya sektorer måste rapportera
Medlemsstaterna måste identifiera de operatörer som bedriver ”samhällsviktig verksamhet som är beroende av nätverk och informationssystem”.
Sektorerna omfattar energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur.
Även kommunala verksamheter kan komma att omfattas och därmed bli tvungna att höja sin säkerhetsnivå och rapportera om allvarliga it-incidenter.
Kritik från Riksrevisionen
Regeringen har tidigare fått kritik av Riksrevisionen för brister i sitt arbete med informationssäkerhetsfrågor inom den civila statsförvaltningen.
Riksrevisionen påpekade särskilt att det finns ett behov av att utreda hur tillsynen över informationssäkerheten kan samlas och koordineras på ett bättre sätt än i dag.
Därefter har det också kommit två utredningar – ”Informations- och cyber-säkerhet i Sverige” samt ”En ny säkerhetsskyddslag”.
Ska prioritera en nationell strategi
Regeringen skriver att man har ”konstaterat att delar av arbetet med informationssäkerhet i den civila statsförvaltningen inte har genomförts ändamålsenligt” och hänvisar till det krav på rapportering av IT-incidenter som från den 1 april 2016 gäller för statliga myndigheter.
Enligt regeringen ska det nya regelverket inte skapa mer administration än vad som är nödvändigt. ”Enkelhet, överskådlighet, konsekvens och kostnadseffektivitet ska eftersträvas”, skriver man i kommittédirektiven.
Det framgår också av kommitédirektiven att det redan pågår ett arbete i regeringskansliet med anta en nationell strategi för statens informations- och cybersäkerhet. Regeringen skriver i direktiven att man ”avser att prioritera detta arbete”.
