Skyddet av kritisk infrastruktur och samhällsviktig verksamhet har på såväl nationell som EU-nivå fått en mycket hög prioritet. Främst beror det på digitaliseringen, som medfört ökade möjligheterna och incitament för såväl politiskt som ekonomiskt drivna kriminella att genomföra attacker mot ett lands kritiska infrastruktur.
Säkerhetsskyddslagen
I Sverige fick vi Säkerhetsskyddslagen 2018. Den ställer krav på åtgärder för att skydda uppgifter som är viktiga för rikets säkerhet eller för att leva upp till kraven på säkerhetsskydd baserade på internationella åtaganden. Här inbegrips även förstärkt skydd av annan säkerhetskänslig verksamhet, exempelvis samhällsviktiga informationssystem. Säkerhetsskyddslagen gäller för verksamheter som drivs i såväl offentlig som privat regi. Intressant är att även data som inte officiellt är klassade som hemliga omfattas av Säkerhetsskyddslagen, exempelvis system för drift i kritisk infrastruktur, som kan utgöra en potentiell sårbarhet..
NIS-direktivet
NIS-direktivet som lanserades 2016 har redan implementerats i respektive EU-lands lagstiftning. Sammanfattningsvis ställer direktivet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster. I Sverige är NIS-direktivet antagen inom ramen för lagen om informationssäkerhet.
Då det fanns luckor i NIS-direktivet, som behövde täppas till lanserades NIS 2-direktivet. Dess syfte är framför allt arr stärka harmoniseringen mellan medlemsländer för att öka cybersäkerheten inom hela unionen. Harmoniseringen kommer också underlätta för aktörer som har verksamhet i flera länder.
NIS 2 – uppföljningen
NIS 2 föreskriver minimikrav för säkerhetsåtgärder, ökade och mer specificerade rapporteringsskyldigheter samt ökade rättsmedel och sanktioner för tillsyn av direktivet. Därutöver ska direktivet driva fram effektivt samarbete mellan myndigheter och mekanismer för informationsdelning mellan myndigheter, medlemsstater och entiteter.
Lägg därtill inrättandet av ett EU-center som ska hantera storskaliga cybersäkerhetsincidenter. Inrättandet av ett europeiskt sårbarhetsregister är en annan del.
I en kommentar till införandet av NIS 2framhåller Ivan Bartoš, Tjeckiens vice premiärminister med ansvar för digitalisering, att cybersäkerhet är och förblir en central utmaning under de kommande åren.
– Våra ekonomier och medborgare står inför enorma utmaningar. Vi har nu tagit ännu ett steg för att förbättra vår förmåga att motverka detta hot.
CER – om entiteters motståndskrav
Med NIS 2 utökas tillämpningsområdet och därutöver finns tydligare definitioner av vilka entiteter som omfattas av direktivet. Entiteter delas inte längre in i leverantörer av samhällsviktiga tjänster och digitala tjänster, utan i stället i väsentliga respektive viktiga entiteter. Bland väsentliga entiteter räknas exempelvis entiteter som tillhör energisektorn.
I december 2022 fattades beslutet att genomdriva NIS 2-cybersäkerhetsnivån i hela unionen samt direktivet om kritiska entiteters motståndskraft (CER). Direktiven ska börja tillämpas den 18 oktober 2024.
Den svenska regeringen beslutat att ge en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att NIS 2-direktivet och CER-direktivet ska kunna genomföras. Uppdraget ska redovisas senast 23 februari 2024.
Ytterligare en EU lag
Utöver dessa väsentliga förstärkningar har EU-parlamentet antagit en ny lag som ska skydda EU:s viktiga infrastruktur ytterligare. Med 595 röster för, 17 emot och 24 nedlagda röster bekräftade ledamöterna en överenskommelse med rådet som inför minimiregler för riskbedömningar och nationella strategier för resiliens och harmoniserar definitionen av kritisk infrastruktur, så att den är lika i alla EU-länder.
– För att skapa ett Europa som skyddas måste vi också stärka den kollektiva motståndskraften hos de kritiska system som ligger till grund för vårt sätt att leva, kommenterade Europaparlamentets Vice President, Michal Šimečka, när beslutet var taget. Med elva viktiga sektorer som omfattas kommer denna lagstiftning att ta sig an både utmaningarna med klimatkrisen och den ökande förekomsten av sabotage i EU på grund av Rysslands aggressionskrig mot Ukraina. EU:s kritiska infrastruktur måste förbli motståndskraftig mot dessa hot, konkluderade han.
Elva viktiga sektorer
De nya reglerna omfattar sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, digital infrastruktur, dricksvatten och avloppsvatten, livsmedel), hälso- och sjukvård, offentlig förvaltning och rymden. Lagstiftningen skärper också kraven på att genomföra riskbedömningar och på rapporteringskraven för särskilt viktiga tjänsteleverantörer.
Vidare ska EU-länderna anta nationella strategier för resiliens, och kommunikation över gränserna ske via en enda kontaktpunkt i varje medlemsland. Samtidigt ska dubbel rapportering mellan detta och andra resiliensfrämjande initiativ undvikas, så att viktiga tjänsteleverantörer inte ställs inför alltför tung administrativ börda. För att garantera öppenheten ska viktiga tjänsteleverantörer informera nationella myndigheter om alla incidenter och störningar.
Rådet och parlamentet har också sett till att den nya lagstiftningen är förenlig med det nyligen antagna NIS 2-direktivet om cybersäkerhet.