Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.
Samtliga av ovanstående regleringar ”drabbar” primärkommunerna. En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000. Detsamma gäller för ovan nämnda nya lagar. Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen. För att uppnå målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna. Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det. Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ. Nu är det alltså litet upp till bevis-läge.
Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.
Först en kort bakgrund. Det s.k. NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018. Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem. Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster. Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen. Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Däremot gäller den för både offentlig och privat verksamhet.
För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på. För det första ska leverantörerna av samhällsviktiga tjänster bedriva ett systematiskt informationssäkerhetsarbete inklusive riskanalyser och incidenthantering. Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!). Man skulle kunna tycka att det är en ganska självklar del i ett systematiskt informationssäkerhetsarbete men lagstiftaren känner ändå att detta måste påpekas. För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla. Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.
Nog raljerat. Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten. Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten. Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.
Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB:Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen. Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium. Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas. Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.
Missförstå mig rätt. Jag är den första att hävda nödvändigheten av att bedriva ett systematiskt informationssäkerhetsarbete och då särskilt i kommuner och landsting. Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement. Men för att uppnå detta måste man förstå förutsättningarna. Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.
En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag). Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.
Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun. I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt. Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen. Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple. Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet. Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.
Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna. De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen. Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare. För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där. På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s föreskrifter. Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete. Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång. Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra. Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv. Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt. I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga frågor. Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är tillsynsmyndighet. Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i frågan.
Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv. Jag skickade därför ett mail till MSB. PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse:
Hej!
Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s. den aktuella myndigheten) skickat direkt till kommuner.
Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.
När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss. Detta skedde sista augusti. MSB har deltagit i en träff i nätverket för informationssäkerhet i kommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail. Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan. Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten. I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.
Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen. Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats. Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister. För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation. Att det sedan inte alltid blivit så är en annan fråga.
Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga. Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser. Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer. Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd. Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).
Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m. Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets. Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas. Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.
För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?
Låt oss hoppas det. För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om vad som ska göras till de som ska göra något samt stöd för hur det ska göras, d.v.s. metoder. Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild. Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen. För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten? Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften? Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.
Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS. Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.