Med anledning av de nya EU-direktiven kopplade till NIS2 har vi tittat närmare på hur det påverkar kommunernas trygghetslarm. Vi har tagit hjälp av MSB:s handläggare Jan-Olof som har bistått med hur han ser på saken.

Kommuner ska säkerställa driftskontinuitet av trygghetslarm – delbetänkande av NIS2

Regeringen har tillkallat en särskild utredare med uppgift att föreslå nödvändiga anpassningar av svensk rätt för att kunna implementera EU:s två direktiv NIS2 och CER. Utredningstiden för CER-direktivet har förlängts medan ett delbetänkande från utredaren gällande NIS2 överlämnades till Regeringen i mars 2024. Delbetänkandet förtydligar att alla kommuner, från och med 1 januari 2025, bör omfattas av direktiven innefattande krav som ledningens deltagande i arbetet med cybersäkerhet samt åtgärder för ökad driftskontinuitet av kommunens tjänster så som trygghetslarm.

Kommuner omfattas av direktiven enligt utredningen

Utredningen har enligt Regeringen (2024) gjort följande bedömning i sitt delbetänkande i frågan huruvida direktiven är tillämpbara på kommunerna:

”Majoriteten av alla kommuner, omfattas av NIS2-direktivets krav redan genom att en stor andel av samtliga kommuner bedriver hemsjukvård och att samtliga uppfyller storlekskravet. Det är kommunen som juridisk person som omfattas som vårdgivare. Det saknas därmed i huvudsak skäl att överväga om kommuner ska omfattas som offentliga förvaltningsverksamheter på lokal nivå enligt artikel 2.5 a. Utredningen föreslår dock i fullständighetens namn att alla kommuner omfattas, men att kommunfullmäktige undantas.”

Delbetänkandet föreslår således att direktivets krav ska appliceras på samtliga kommuner och deras tillhandahållna samhällsviktiga tjänster.

SKR (2024) nämner att några av skillnaderna från tidigare NIS-direktivet som kommunerna då även behöver ta i beaktning är att NIS2 ställer tydligare krav på riskanalyser och säkerhetskrav, men också på ledningens deltagande i cybersäkerhetsarbetet. NIS2-direktivet kommer därtill innebära att en administrativ sanktionsavgift införs.

Driftskontinuitet kravställs på trygghetslarmstjänster

Trygghetslarm är en samhällsviktig tjänst som tillhandahålls av kommuner idag. Trygghetslarmstjänster har visat sig sårbara vid återkommande fall av incidenter som påverkar dess funktion. Incidenterna har framför allt härstammat från störningar i mobilnäten men även från bland annat störningar i larmplattformar och roamingplattformar. Orsakerna till störningarna varierar men har delvis härrört från cyberattacker. I delbetänkandet gällande NIS2 återfinns nedan formulering vilket kravställer att bland annat driftskontinuiteten av tjänsternas nätverks- och informationssystem ska säkerställas genom lämpliga åtgärder.

”Medlemsstaterna ska säkerställa att de väsentliga och viktiga verksamhetsutövare som beskrivits i avsnitt 3.2.2 vidtar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster. Åtgärderna ska också vidtas för att förhindra eller minimera incidenters påverkan på mottagarna av deras tjänster och på andra tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverks- och informationssystem som är lämplig i förhållande till den föreliggande risken. Åtgärderna ska baseras på en allriskansats som syftar till att skydda verksamhetsutövarens nätverks- och informationssystem och dessa systems fysiska miljö från incidenter och minst inbegripa:

• strategier för riskanalys och informationssystemens säkerhet,
• incidenthantering,
• driftskontinuitet,
• säkerhet i leveranskedjan,

(…)”

Skapa driftskontinuitet genom fast och mobil uppkoppling

På Omsorgsportalens fråga till Jan-Olof Olsson, Handläggare på MSB, gällande om redundans i form av fast och mobil uppkoppling av trygghetslarm kommer krävas enligt NIS2 svarar Jan-Olof:

”Kommunerna ska redan i dag identifiera sin samhällsviktiga verksamhet och arbeta med att minimera sina risker. Många kommuner har redan problem i vardagen då centralsystem eller kommunikationsnät går ner och trygghetslarm slutar att fungera. En ny reglering om motståndskraft i samhällsviktig verksamhet för att implementera NIS2- och CER-direktiven i Sverige kommer att innebära funktionskrav på olika samhällsviktiga verksamheter, men säkerligen utan att vara på detaljnivå. För att minimera risken med trygghetslarm kan diversitet i uppkopplingen vara ett sätt. I direktiven är frågor som driftskontinuitet och säkerhet i leveranskedjan bärande så att funktionen ska upprätthållas är tydligt.”

Även om delbetänkandet gällande NIS2 klarlägger att kommunerna ingår i hälso- och sjukvårdssektorn och bör omfattas av NIS2 och CER så har MSB (2022) redan påtalat detta tidigare, vilket även understryks av Jan-Olof.

Inrapporterade incidenter inom hälso- och sjukvårdssektorn

I årsrapporten från MSB (2022) gällande NIS-leverantörers it-incidentrapportering 2021, påtalas att leverantörer av samhällsviktiga och digitala tjänster, även kallade NIS-leverantörer, inbegriper både offentliga och privata aktörer och många av de tjänster som ingår är under kommunernas ansvarsområde - så som kommunala trygghetslarm

I årsrapporten påvisas samtidigt det stora antal inrapporterade incidenter under 2020 och 2021 inom hälso- och sjukvårdssektorns. Se diagram nedan.

Hälso- och sjukvårdssektorn var den sektor som rapporterat in flest incidenter både 2020 och 2021. Det betyder inte att sektorn nödvändigtvis drabbats av flest incidenter då det också kan ha att göra med en högre grad inrapportering av incidenter inom sektorn. Baserat på genomlysningen drogs ett par centrala slutsatser av MSB varav två lyder som följande:

• Ofta är det system för kommunikation som drabbas, vilket är främst förekommande i hälso- och sjukvården.
• Flera leverantörer, särskilt inom hälso- och sjukvårdssektorn upplever incidenter, och även störningar som de tidigare drabbats av.

Sammanfattning

• Trygghetslarm drabbas regelbundet av driftstörningar, delvis härrörande från cyberattacker. MSB har rapporterat om ett stort antal inrapporterade incidenter i kommunikationssystem inom hälso- och sjukvården.
• Jan-Olof Olsson, Handläggare på MSB föreslår att diversitet i uppkopplingen kan vara ett sätt att minimera driftrelaterade risker med trygghetslarm. Ett exempel på diversitet är att nyttja fast och mobil uppkoppling. Vidare anser Jan-Olof att frågor som driftskontinuitet och säkerhet i leveranskedjan är bärande i NIS2- och CER-direktiven så att funktionen i trygghetslarmen ska upprätthållas är tydligt.
• Regeringens tillsatta utredare av NIS2- och CER-direktivet förtydligar att alla kommuner bör omfattas av direktiven varpå exempelvis åtgärder för säkerställd driftkontinuitet av trygghetslarm kravställs.

Källor:

MSB. (2022). Årsrapport, It-incidenter som påverkar samhällsviktiga och digitala tjänster, NIS-leverantörers it-incidentrapportering 2021. Hämtat den 2024-03-07 från: https://rib.msb.se/filer/pdf/29905.pdf 

Regeringen. (2024). Nya regler om cybersäkerhet, Delbetänkande av Utredningen om genomförande av NIS2- och CER-direktiven. (SOU 2024:18). Hämtat den 2024-03-06 från: https://regeringen.se/contentassets/1e56bf5cad214fc78eb80d91c11cccb6/nya-regler-om-cybersakerhet-sou-202418.pdf

SKR. (2024). NIS 2. Hämtat den 2024-04-05 från: https://skr.se/skr/naringslivarbetedigitalisering/digitalisering/euforordningareudirektivdigitalisering/beslutat/nis2.70287.html