Säkerhet i nätverk och informationssystem

Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster trädde i kraft den 1 augusti 2018. Lagen bygger på EU-regler, det så kallade NIS-direktivet, och syftet är att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Den nya lagen omfattar bland annat de som levererar digitala tjänster till sjukvården, banker, energi- och transportsektorn. Energimyndigheten är tillsynsmyndighet inom energisektorn.

Lagen innebär bland annat att leverantörer inom energisektorn får nya krav när det gäller systematiskt arbete med informationssäkerhet. Bland annat ska incidenter som kan påverka kontinuiteten i tjänsterna rapporteras.

Lagen har trätt i kraft

Den nya lagen började gälla den 1 augusti 2018. Innehållet i lagen var känt i och med propositionen och Energimyndigheten arbetar med genomförandet och stödjer MSB (Myndigheten för samhällsskydd och beredskap) i framtagandet av föreskrifter.

Reaktiv tillsyn från augusti

Regeringen ansvarar för att utse en tillsynsmyndighet som ska säkerställa att de nya lagkraven följs. Inom energisektorn har Energimyndigheten det formella uppdraget som behörig myndighet och som vidare reglerar tillsynsansvar och föreskriftsrätt.

Energimyndigheten har därmed ett ansvar för reaktiv tillsyn redan från och med 1 augusti. Ansvaret är i praktiken mycket begränsat eftersom MSB:s (Myndigheten för samhällsskydd och beredskap) föreskrifter är ute på remiss under sommaren och kommer preliminärt att vara på plats den 1 november 2018. 

 

Gränsdragning mot säkerhetsskyddslagen

Den nya lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (informationssäkerhetslagen) gäller enligt lagens 8 § inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen.

Säkerhetsskyddslagen gäller enligt 1 kap. 1 § den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).

Att ett företag eller en organisation bedriver säkerhetskänslig verksamhet innebär emellertid inte att hela den juridiska personen undantas från krav enligt informationssäkerhetslagen. Det kan vara så att endast en viss del, tillgång eller funktion omfattas av säkerhetsskyddslagens bestämmelser. Den verksamhet som faller utanför måste då följa informationssäkerhetslagens bestämmelser där denna är tillämplig. Även om de olika lagstiftningarna har delvis olika syften är det inte meningen att säkerhetsskyddslagens krav i någon del ska vara lägre än de krav som hade ställts om informationssäkerhetslagen varit tillämplig.

Ett inledande krav enligt säkerhetsskyddslagens bestämmelser är att de som omfattas ska analysera och dokumentera sitt behov av säkerhetsskydd. Av denna säkerhetsskyddsanalys bör det framgå vilken verksamhet som omfattas. I den mån en del av verksamheten, exempelvis ett IT-system, inte kan särskiljas gäller säkerhetsskyddslagen för hela denna del.

En ny säkerhetsskyddslag träder i kraft i april 2019. Vad som anges ovan utgår från den nya säkerhetsskyddslagen men gäller även nuvarande lag.

Bakgrund om NIS-direktivet

I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet som fastställer åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Det övergripande syftet med direktivet är att förbättra den inre marknadens funktion inom EU. Energisektorn är en av sju samhällssektorer som träffas av direktivet och Energimyndigheten är föreslagen tillsynsmyndighet.

Nätverk och informationssystem och nätverks- och informationstjänster spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet. Säkerhetsincidenter är ett allvarligt hot mot systemens funktion. Systemen kan också bli mål för avsiktligt sabotage i syfte att skada dem eller orsaka driftavbrott. Den här typen av incidenter kan hindra genomförande av ekonomisk verksamhet, generera omfattande ekonomiska förluster, undergräva användarnas förtroende och medföra allvarliga konsekvenser för unionens ekonomi.

Ett projekt är uppstartat på Energimyndigheten för implementation av NIS-direktivet, och vi kommer bland annat att arbeta med att ta fram föreskrifter tillsammans med de övriga tillsynsmyndigheterna och MSB. Direktivet ska omsättas i en lag och förordning under våren 2018 och omkring 150 - 400 aktörer inom energisektorn kommer rimligen att hamna under Energimyndighetens tillsyn.