Det är fascinerande för en jurist att se hur dataskyddsförordningen (GDPR) har slagit ner som en bomb bland europeiska företag, myndigheter och organisationer. Det är svårt att dra sig till minnes någon ny lagstiftning som fått så mycket och så bred uppmärksamhet. Gott så. Det är en mänsklig rättighet det där med rätten till privatliv.
Inom kort kommer NIS-lagen träda ikraft. Hört talas om den? Det är regler för en ökad nät- och informationssäkerhet för vissa leverantörer av samhällsviktiga och digitala tjänster. Ännu finns ingen riktig hype för NIS dock, men det börjar bli hög tid för det.
Det är inte lika många aktörer jämfört med GDPR som har att följa reglerna, så är det ju, men alla - verkligen alla - företag, myndigheter och organisationer har att vinna på att arbeta systematiskt med nät- och informationssäkerhet.
Varför då? För att säkerhet i nätverk och informationssystem ofta är en förutsättning för att kunna tillhandahålla vad det nu än är man tillhandahåller. Rätt information måste vara tillgänglig för rätt person, vid rätt tidpunkt, som man brukar uttrycka det. Man kan inte leverera dricksvatten, elektricitet, sjukvård m.m. om systemen som tjänsterna är beroende av är ur funktion eller felaktiga. System som, let’s face it, inte behöver innehålla en tillstymmelse till personuppgift.
Jag personligen hade kunnat önska att denna reglering hade kommit före GDPR, för så mycket av arbetet som behöver genomföras för att förbättra skyddet för nätverk och informationssystem är överlappande med åtgärderna som behövs för att skydda personuppgifter enligt GDPR. Men även om personuppgifter är information, kan information vara mycket mer än personuppgifter. Det hade rimligen varit enklare att inkludera skydd för personuppgifter i befintligt informationssäkerhetsarbete än tvärtom.
Jag hoppas att de aktörer som har att följa reglerna i NIS inte är mättade efter GDPR, utan att de snarare är peppade att fortsätta med säkerhetsfokus även utanför personuppgiftsområdet. I och med NIS krävs troligen anpassningar för att uppnå ett fullgott systematiskt informationssäkerhetsarbete, och har man inte börjat än är det helt klart dags att sätta igång.