Dålig koll på NIS
NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig.
Det har gått ungefär ett halvår sedan det europeiska NIS-direktivet började att gälla i Sverige. Den 1 november trädde MSB:s föreskrifter om anmälan och identifiering av samhällsviktiga tjänster i kraft, och i mars 2019 börjar MSB:s föreskrifter om incidentrapportering att gälla.
Den förstnämnda skriften innebär att de berörda aktörerna från och med 1 november själva måste anmäla sig till sin ansvariga myndighet. Och än så länge är det lite si och så med uppslutningen kring detta, vilket tillsynsmyndigheten Post- och Telestyrelsen (PTS) nu har tröttnat på. De har tillsynsansvar för områdena digital infrastruktur och digitala tjänster.
– Enligt NIS-reglerna är leverantörer av samhällsviktiga tjänster skyldiga att utan dröjsmål anmäla sin verksamhet. Vår bedömning är att fler företag borde anmäla sig, sett till antalet anmälningar som vi hittills har fått in, säger Erika Hersaeus, Post- och Telestyelsens nätsäkerhetsavdelning.
Problemen finns även inom hälso- och sjukvårdssektorn, menar David Dymmel, Senior Manager Cyber Security på PWC.
– Den sektorn måste förmodligen röra sig om väldigt många vårdgivare, men än så länge så har bara ett fåtal anmält sig. Inom bank- och finanssektorn ser det bättre ut. Där har Finansinspektionen identifierat tolv aktörer som berörs av NIS, varav nio av dessa har anmält sig.
Varför ser det ut så, David Dymmel?
– Det kan såklart finnas olika anledningar till varför det ser olika ut mellan sektorerna och jag har inget tydligt svar när det gäller just hälso- och sjukvårdssektorn. Aktörerna kanske inväntar förtydligande från sin tillsynsmyndighet, Inspektionen för vård och omsorg, IVO.
– Det kan också vara så att aktörerna inom hälso- och sjukvårdssektorn inte fullt ut är medvetna om vad den nya lagen innebär eller hur de ska angripa utmaningen med att anpassa sig. MSB:s rapport En bild av landstingens informationssäkerhetsarbete 2018 indikerar att många av aktörerna inom sektorn inte har rätt kompetens eller tillräckligt med resurser och tid avsatt för att kunna arbeta systematiskt och riskbaserat med informationssäkerhet.
Vad måste ske nu?
– MSB:s rapport ger en rad rekommendationer till landstingen om hur de ska höja sin förmåga inom informationssäkerhet. När det kommer till anpassningen till den nya lagstiftningen måste första steget vara att ta reda på om de omfattas, vad i verksamheten som omfattas och sedan integrera och komplettera befintligt arbetssätt för att efterleva lagen.
– De flesta organisationer i Sverige har nyligen lagt mycket krut på att höja sin informationssäkerhetsnivå genom sitt GDPR-arbete. Detta arbete kan aktörerna med fördel dra nytta av även när det kommer till NIS-implementeringen.
Större aktörer mer vana
Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.
David Dymmel
Det är inte bara mellan olika sektorer som det kan finnas skillnader i NIS-förberedelserna. Tittar man generellt så har stora aktörer systematiskt arbetat med informationssäkerhet under en längre tid, så för dem blir inte direktivet nödvändigtvis någon större förändring.
– De måste först och främst lära sig vilka tjänster som omfattas av lagstiftningen, identifiera vad som är en NIS-incident, och hur man rapporterar in en sådan.
Men för mindre företag och organisationer så kan NIS bli en stor puckel att ta sig över. Där åsyftas bland annat mindre el- och energibolag och järnvägsföretag.
– Till exempel så finns det garanterat mindre transportaktörer än SJ som omfattas. De kanske tänker på informationssäkerhet till en viss grad men inte systematiskt. Och det är det som är svårast att nå upp till, för när blir det egentligen systematiskt? Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.
Skillnader inom EU
Skillnader finns även mellan länderna inom EU. Tolv länder har än så länge inte införlivat NIS-direktivet, vilket kan innebära en längre uppförsbacke framöver.
– Här finns även en intressant aspekt för företag verksamma inom flera olika länder. Där är en vanlig frågeställning, än så länge utan 100-procentigt svar, huruvida de omfattas av lagstiftningen i alla länder de verkar i, eller om det räcker i det land de har sitt huvudkontor i. För NIS kan se olika ut beroende på var i Europa man befinner sig. Här vore en större klarhet på sin plats.
Det viktigaste för svenska företag och organisationer just nu är att ta reda på om man berörs av NIS-direktivet, menar David Dymmel. I så fall är det dags att anmäla sig till sin ansvariga myndighet. Men även om man inte omfattas så betyder inte det att man kan strunta i sin informationssäkerhet, utan det finns anledning att tänka över och ta ansvar kring dessa frågor ändå.
– Vi arrangerade ett seminarium om NIS för ett tag sedan och på plats fanns företag som sysslar med fjärrvärme och fjärrkyla. De berörs inte av direktivet men om deras verksamhet kraschar kan det säkerligen få samhällskonsekvenser ändå. Det engagemanget vill vi se ännu mer av.
– Avslutningsvis uppmanar jag alla aktörer att inte försöka uppfinna hjulet igen. Ta ett samlat grepp och analysera NIS och säkerhetsskydd på ett strukturerat sätt. Samarbeta mer och dra nytta av andra aktörers erfarenheter.
Läs mer om ämnet: