Utredningen ”Informationssäkerhet för samhällsviktiga och digitala tjänster” har överlämnats till regeringen. Det handlar om det så kallade NIS-direktivet, en ny förordning för informationssäkerhet när det bland annat gäller leverans och distribution av dricksvatten.
Kraven på IT-säkerhet i svenska VA-verksamheter kommer att öka kraftigt. Det så kallade NIS-direktivet från EU medför skyldigheter för stater att skaffa en nationell strategi för höjd IT-säkerhet.
Utredningen som överlämnades till inrikesminister Anders Ygeman 2 maj, föreslår en ny lag och en ny förordning om informationssäkerhet för vissa leverantörer av samhällsviktiga och digitala tjänster.
Förslagen gäller vissa offentliga och enskilda verksamheter som tillhandahåller samhällsviktiga tjänster inom sju skyddsvärda sektorer; energi, transporter, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.
Leverantörerna föreslås bland annat bli skyldiga att vidta tekniska och organisatoriska säkerhetsåtgärder och rapportera allvarliga it-incidenter till Myndigheten för Samhällsskydd och Beredskap (MSB). En tillsynsmyndighet för varje sektor föreslås få ansvar för att övervaka att regelverket följs och att kraven i lagstiftningen har fått effekt på säkerheten. Tillsynsmyndigheten ska få befogenhet att besluta om sanktioner.
– Jag ser positivt på förslagen, som innebär att både offentliga och privata aktörer inom särskilt samhällsviktiga sektorer måste skärpa sitt arbete med informationssäkerhet. Detta ligger helt i linje med regeringens övriga satsningar på området, säger inrikesminister Anders Ygeman, i ett pressmeddelande.
Redan under utredningstiden kom krav på att statliga myndigheter ska rapportera IT-incidenter. Utredningsförslaget är att kravet även ska omfatta kommunala verksamheter och VA. Redan under utredningstiden har kommuner kunnat välja att rapportera på samma sätt som statliga myndigheter gör. Det är när offren samarbetar som de negativa konsekvenserna kan minska för samhället.
Den nya lagen föreslås träda i kraft den 10 maj 2018. (EW)
Läs mer: IT-intrån inte längre en hemlighet (Cirkulation 5/16)