Kommunernas öppna hål

– Det vi på Ellevio ser som det största hotet är om främmande stater är intresserade av att sabotera vår infrastruktur för att störa för vårt land. Det är vad vi kontinuerligt behöver förbereda oss för, så att vi inte tillåter några sådana risker, säger Anna-Carin Joelsson, CIO Ellevio.

– Vi jobbar med det här på flera sätt. Dels med tekniska lösningar, dels med omvärldsbevakning för att förstå vilka hot som finns. Det är en jätteviktig del, men vi jobbar också med att testa och verifiera att våra lösningar är hållbara.

Mats Kellqvist, hur säkra är Sveriges kommuner?

– Säkerheten varierar med kommunens storlek. Vi vet att stora kommuner har investerat mer och jobbat hårdare med de här frågorna. Men vi vet att för de små kommunerna är det en utmaning att prioritera säkerhet i konflikt med sviktande skatteunderlag och behoven inom skola, vård och omsorg. Samtidigt har de viktig infrastruktur, som elbolag och vattenverk, som it-mässigt sitter ihop och därmed är både lättillgänglig och sårbar, säger Mats Kellqvist, ansvarig cybersäkerhet och samhällsinfrastruktur, PwC.

– När vi penetrationstestar kommunerna går vi som regel in via det som kallas medborgartjänsterna. Har man väl kommit in där ser vi att det nästan alltid är vidöppet och då kommer man in till el- och vattenverket och kan stänga av tillförseln till utvalda mottagare.

Kan Ellevio vara ett stöd för kommuner som har ett sämre skydd?

– Energisystemet är aldrig starkare än dess svagaste länk och naturligtvis ligger det även i vårt intresse att skydda samhället på det sättet. Kan vi hitta former för att samarbeta med kommuner och anda aktörer vill vi gärna göra det.

Mats, hur är kommunerna förberedda för NIS-införandet?

– Generellt sett är det nog inte så bra. Kommunerna behöver dessutom titta på säkerhetsskyddslagen som kommer i en ny, förstärkt tappning till våren 2019. Den innebär bland annat att kommunerna behöver analysera om en säkerhetsfråga rör rikets säkerhet. En huvudstadskommun kan till exempel inte friskriva sig från ansvar genom att säga att detta är en lokal angelägenhet, de är en nationell angelägenhet.

– Det finns också ett antal tillsynsmyndigheter som nu arbetar med frågan och i vissa fall ligger lite efter i nuläget. En del av dem, som Statens energimyndighet, har som uppgift att ge stöd till kommunerna. Bland annat genom att utforma regelverk och riktlinjer så att kommunerna har något att arbeta efter.

Anna-Carin, boten för att inte följa NIS är liten. Hur påverkar det drivkraften?

– Både NIS, säkerhetsskyddslagen och GDPR är hjälp till oss verksamheter och företag i Sverige att säkerställa att vi skyddar vårt samhälle på ett korrekt sätt. Jag hoppas att botens storlek inte påverkar hur det viktiga arbetet bedrivs.