Tillsyn – utmaningar i genomförandet av NIS2-direktivet

Häromdagen kom den svenska utredarens förslag på nya regler om cybersäkerhet. I förslaget finns några frågetecken som kan behöva rätas ut för att tillsynen av regelverket ska fungera i praktiken. I det här blogginlägget kommer jag utforska de potentiella utmaningarna med att utse en tillsynsmyndighet som har ett nära samarbete med aktuell verksamhet samt resursbrist och kompetensutveckling.

Utredarens förslag på nya regler om cybersäkerhet beskriver hur det är tänkt att EU-direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) ska genomföras i Sverige. Tanken är att vi med NIS2-direktivet ska få en lägstanivå för cybersäkerhet och jämfört med förlagan, NIS-direktivet, från 2018 är det fler verksamheter som omfattas och kraven skärps. En viktig del i förslaget är att kraven kommer gälla hela verksamheten och inte bara för samhällsviktiga och digitala tjänster som gällande lagstiftning. Som följd av utvidgningen av vilka verksamheter som omfattas av kraven i förordningen innebär utredarens förslag också ytterligare tillsynsmyndigheter.

Strukturen för tillsyn enligt dagens modell innebär att det finns en utpekad tillsynsmyndighet för varje sektor och för de digitala tjänster som omfattas av regelverket som har till uppgift att se till att regelverket följs. Detta blogginlägg ska utforska möjligheter och utmaningar inom tillsynsverksamheten utifrån utredarens förslag på hur direktivet ska genomföras i svensk rätt.

NIS2-direktivet (och systerdirektivet för motståndskraft i samhällsviktig verksamhet, CER-direktivet) bör förstås mot en bakgrund av ett identifierat behov av resiliens, motståndskraft och robusthet i allmänhet och en ökad förmåga inom cybersäkerhet i synnerhet. Det handlar om att säkerställa att det viktigaste i samhället fungerar så att våra liv kan fortsätta som vanligt i ett samhälle där vi är beroende av digital teknik för att genomföra val, bedriva undervisning i skolan och tillhandahålla hälso- och sjukvård.

Ur ett EU-perspektiv heter det att förbättra den inre marknadens funktion och undanröja hinder i form av olika nivåer och krav mellan medlemsländerna. Riskerna för negativa konsekvenser för ekonomi och samhälle ska hanteras genom säkerhetsåtgärder, incidentrapportering och tillsyn.

Tillsyn är ett redskap i den regulatoriska verktygslådan som kan användas för att hitta svar på frågan om det blev som vi tänkt. Genom att låta en oberoende part kontrollera genomförandet av krav har vi en bild som kan kommuniceras till beslutsfattare och allmänheten. I förslaget till genomförande av NIS2-direktivet finns några pusselbitar som kanske inte helt passar i helheten.

Resursbristen inom cybersäkerhetsområdet. Vi har i tidigare blogginlägg pekat på att det råder stor brist på kompetens inom cybersäkerhet i Sverige och att en nationell strategi för kompetensförsörjning saknas. En utökning från sju till 18 sektorer som träffas av cybersäkerhetsregelverket innebär att betydligt fler aktörer omfattas. För befintliga tillsynsmyndigheter som redan utövar tillsyn av befintlig NIS-lagstiftning innebär det fler verksamheter och att befintligt uppdrag med det växer. För nya tillsynsmyndigheter som inte bedriver tillsyn av cybersäkerhet idag innebär det att en helt ny verksamhet behöver etableras och bemannas. Länsstyrelsen Västra Götaland, Länsstyrelsen Norrbotten, Länsstyrelsen Skåne, Länsstyrelsen Stockholm samt Läkemedelsverket får visserligen en liten slant för att lösa tillkommande uppgifter, men som vi kan läsa i tidigare inlägg är det stor risk för att kompetensen för att lösa uppgiften inte finns.

Kompetensutveckling och kunskapsöverföring. Utredarens förslag innebär en fortsättning på dagens modell med sektorsvis tillsyn. Tillvägagångssättet innebär att kunskapen finns spridd på flera tillsynsverksamheter. Tanken är att sakkunskapen ska finnas i respektive sektor men innebär samtidigt att möjligheten till kompetensutveckling och kunskapsöverföring mellan de som utövar tillsyn försvåras jämfört med en modell med en central tillsynsmyndighet. En effektiv och likvärdig tillsyn som nyttjar befintliga resurser och bidrar till områdets utveckling förutsätter välfungerande samverkan och samordning.

Tillsyn över kommunerna. Förslaget pekar på utmaningen i att en stödjande verksamhet försvagas om en myndighet bedriver tillsyn över samma verksamhetsutövare som de ska ge råd och stöd. Utredningens förslag är att länsstyrelserna i Stockholm, Norrbotten, Skåne och Västra Götaland ska bedriva tillsyn över offentlig förvaltning, kommuner inkluderat. Länsstyrelsen har en central roll i det svenska beredskapssystemet när det kommer till att planera, samordna och inrikta arbetet med krisberedskap och civilt försvar på regional nivå. Genom det geografiska områdesansvaret för respektive län samordnar de arbetet med planering och förberedelser. Givet att stärkt informations- och cybersäkerhet är ett fokusområde i den nationella planeringen (se exempelvis Planeringsinriktning för civil beredskap) kvarstår utmaningen med avvägning mellan tillsyn och stöd även i utredningens förslag. Länsstyrelserna kan förslagsvis inspireras av andra etablerade tillsynsområden som hanterat utmaningen med målkonflikter under längre tid, exempelvis miljötillsyn.

Navigera samverkan. Samverkan är ett vanligt sätt för offentlig sektor att lösa sina uppdrag och skapa nytta givet begränsade resurser. Kommuner samlas i kommunalförbund och myndigheter i myndighetssamverkan, inte helt sällan i frågor som utveckling och förvaltning av it-system för informationshantering eller styrning av processer. Denna typ av samverkan förutsätter strukturer och styrning för att kunna redogöra för hur risker hanteras och säkerhetsåtgärder omhändertas inom ramen för ett samarbete eller samverkan. Ett exempel på en svår om inte omöjlig relation att navigera är förslaget att Länsstyrelserna ska bedriva tillsyn av varandras cybersäkerhet. Utredningen har inte resonerat kring att Länsstyrelserna är 21 fristående myndigheter som utifrån regeringens inriktning bedriver omfattande verksamhet tillsammans. Bland annat är Länsstyrelsen Västra Götaland värdlän för Länsstyrelsernas IT-avdelning. Som en följd bedrivs stora delar av arbetet med informationssäkerhet och dataskydd gemensamt. Om det slutligen landar i att förslaget inte går att genomföra på grund av jäv lämnar jag åt remissinstanserna att bedöma, men oavsett sätter omständigheterna fingret på vikten av att kunna redogöra för hur risker bedöms och omhändertas inom ramen för samverkan och samarbeten.

Sammanfattning:

Blogginlägget tittar på möjliga utmaningar i genomförandet av den svenska utredarens förslag på svensk tillämpning av NIS-direktivet. I och med NIS2-direktivet får vi en gemensam lägstanivå för cybersäkerhet. Fler verksamheter omfattas och kraven skärps. Jämte utvidgningen av vilka verksamheter som omfattas innebär utredarens förslag också fler tillsynsmyndigheter. I och med att förslaget innebär ytterligare tillsynsmyndigheten väcks frågor kring möjligheten att rekrytera rätt kompetens, givet att det råder brist på kompetens inom cybersäkerhet i Sverige. Dessutom innebär en modell där tillsynen är spridd på fler aktörer utmaningar för kompetensutveckling och kunskapsöverföring. Slutligen utforskar blogginlägget utmaningar när en tillsynsmyndighet ska bedriva tillsyn över samma verksamhetsutövare som de även ger råd och stöd.

För vidare läsning:

Hur CER-direktivet kan komma att påverka informationssäkerhetsarbetet