I EU-direktivet NIS2 omfattas såväl kommuner som lärosäten och Region Skåne i sin helhet av nya cybersäkehetsregleringar. Trots att flera kommuner har blivit hackade så sent som i år anser stora skånska förvaltningar att de redan lever upp till de nya kraven.
Efter årsskiftet väntas Sveriges nya cybersäkerhetslag träda i kraft. Rapidus har tagit reda på vad det handlar om och hur företag och offentliga aktörer i regionen påverkas.
Förslaget till ny lagstiftning är baserat på EU-direktivet NIS2, en uppföljning på NIS-direktivet. NIS2 omfattar elva nya sektorer, utöver de sju som omfattas sedan tidigare. Offentlig förvaltning är en av de nya sektorerna.
– Vi har gått från att vissa kommuner har en eller två delar som påverkas till att det helt enkelt är hela organisationen som omfattas. Förvaltningar som innan inte räknades in behöver man titta igenom. Det är en rätt stor förändring, säger David Bogaeus, informationssäkerhetssamordnare på Lunds kommun.
Han menar att kommunens beredskap är god.
– Vi känner att vi ligger i fas. Vi är en relativt stor kommun med resurser. Jag skulle inte vilja vara en liten kommun och ha detta framför mig, men vi är trygga med vårt arbete.
En anledning är att man sedan tidigare arbetar enligt ISO 27000, en standard som gäller just cyber- och informationssäkerhet. Den ställer i praktiken redan krav som motsvarar det nya förslaget, menar David Bogaeus.
– Det är mer eller mindre en de facto-standard. Jobbar man efter den är man på rätt väg och det har vi gjort ganska länge. Men det är fortfarande en stor omställning.
Boris Berberovic, informationssäkerhetschef Region Skåne sedan lite mer än ett halvår, säger att regionen är mitt uppe i arbetet med sitt remissvar gällande lagförslaget.
– Från att vissa delar av Region Skåne kan ha omfattats är det nu hela Region Skåne som omfattas, från transport till hälso- och sjukvård och även den del som står för den offentliga förvaltningen, säger han.
Likt David Bogaeus i Lund menar han att regionen redan arbetar utifrån grundläggande principerna i NIS2.
– Man har implementerat vissa, man förbättrar andra och så vidare. Det är en utmaning, det är en jättestor och komplex organisation, säger Boris Berberovic.
En annan ny sektor är forskning. Men enligt Jesper Wokander, informationssäkerhetsansvarig på Malmö universitet, råder det fortfarande osäkerhet om universitet faktiskt omfattas av de tekniska kraven i den kommande lagstiftningen.
– De tekniska kraven är ju den tunga delen av lagförslaget, säger Jesper Wokander.
Förslaget innehåller nämligen ett undantag för verksamheter som redan omfattas av motsvarande föreskrifter. Och som statlig myndighet omfattas universitet redan av föreskrifter på området från Myndigheten för samhällsskydd och beredskap (MSB).
NIS2 ställer krav på organisationer att också hålla koll på och ställa krav på sina underleverantörer, men inte heller där blir det någon stor förändring. De nuvarande föreskrifterna från MSB pekar i princip bara på ISO-standarden, säger Jesper Wokander.
– Det är väldigt bra, för att det är en utmanande standard. Enligt den ska vi redan i dag ha koll på våra underleverantörer. Kravet är inte nytt, sen får man ju alltid titta på hur det utförs i praktiken.
Det som däremot är nytt i lagförslaget är sanktionerna för den som inte uppfyller de tekniska kraven.
– Man kan egentligen förstå det som att man kopplar sanktionsavgifter till MSB:s föreskrifter, även om det inte i formellt är skrivet så. Den som eventuellt inte skött sig har anledning att tagga till.
Kommunerna Vellinge och Bjuv är exempel på skånska förvaltningar som utsattes för hackerattacker så sent som i år då även flera svenska regioner och 1177 påverkades.
Rapidus har även sökt Helsingborgs stad och Lunds universitet för en kommentar om deras arbete med NIS2, men de avböjde att delta.
Ola Nilsson
Fakta ISO 27000 (Källa: Svenska Institutet för Standarder)
ISO 27000 är en serie standarder inom systematiskt arbete med bland annat cyber- och informationssäkerhet men också olika säkerhetsåtgärder.
Det handlar i princip om att organisationen anpassar säkerhetsarbetet till sin verksamhet på ett strukturerat sätt samt följer upp som en del av verksamhetsstyrningen med ledningen involverad.
