Två nya EU-direktiv har antagits för att stärka medlemsstaternas cybersäkerhet och resiliens inom samhällsviktig verksamhet (Regeringen, 2023). Specifikt rör direktiven åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2), samt kritiska entiteters motståndskraft (CER). Det kan vara svårt att till en början särskilja de två direktiven men som SKR (2023) formulerar det så behandlar CER allt kontinuitetsarbete för samhällsviktiga verksamheter medan NIS2 inriktar sig mot de IT-miljöer som dessa verksamheter är beroende av. Direktiven avser komplettera varandra och båda ska implementeras nationellt senast den 18e oktober 2024. En i Sverige särskilt utsedd utredare ska inför implementeringen av direktiven föreslå nödvändiga anpassningar av svensk rätt för att direktiven ska kunna verkställas (Regeringen, 2023).

Nedan följer en sammanfattning av NIS2 och CER med start i en kort inblick i CER-direktivet för att förstå dess relation till NIS2. Avslutningsvis delar vi med oss av reflektioner kring hur just NIS2 skulle kunna påverka kommuners verksamhet kring uppkopplad välfärdsteknik hos brukare.

Omfattning av NIS2 & CER

Implementeringen av CER-direktivet innebär att EU-direktivet 2008/114/EG ersätts. CER-direktivet avser ålägga aktörer (så kallade kritiska entiteter) skyldigheter att exempelvis genomföra åtgärder i syfte att stärka sin motståndskraft och rapportera incidenter. I och med att CER och NIS2 ämnar komplettera varandra så ska de aktörer som identifieras enligt CER även anses väsentliga entiteter enligt NIS2. Enligt CER ska aktörer som tillhandahåller samhällsviktiga tjänster identifieras inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel (Regeringen, 2023).

Syftet med CER är att öka säkerheten i vår samhällsviktiga verksamhet så som kritisk infrastruktur genom att öka dess motståndskraft och således förebygga, motstå och hantera situationer som riskerar innebära allvarliga störningar av viktiga samhällsfunktioner.  Med samhällsviktig verksamhet innefattas enligt MSB (2023) verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.

Implementeringen av NIS2 innebär att EU-direktivet NIS från 2016 ersätts med skärpta krav. Specifikt berörs aktörer (i NIS benämnda ”leverantörer” och i NIS2 benämnda ”entiteter”) av samhällsviktiga tjänster inom sektorerna: energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vidare omfattas aktörer som tillhandahåller vissa digitala tjänster samt aktörer i de i NIS2 tillkomna sektorerna avloppsvatten, förvaltning av IKT-tjänster (mellan företag), offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, tillverkning, digitala leverantörer och forskning (Regeringen, 2023). I samband med det utökade tillämpningsområdet så inkluderas nu även underleverantörer till dessa aktörer (Svenskt Vatten, 2022).

Syftet med NIS2 är bland annat att minska fragmenteringen av den inre marknaden genom att arbeta med minimiregler för ett samordnat regelverk tillämpat på aktörer inom ovan nämnda sektorer (Regeringen, 2023).

I NIS2 återfinns ett enhetligt kriterium för att bestämma vilka aktörer som infattas av direktivets tillämpningsområde. Kriteriet omfattar alla aktörer som är av en viss storlek och av en typ som pekas ut i direktivet. Även aktörer mindre än kriteriets angivna storlek omfattas av direktivet om den uppfyller vissa specifika kriterier rörande om aktören har en nyckelroll för samhället, ekonomin eller en viss sektor som omfattas av direktivet. Underleverantörer behöver också granskas av berörda aktörer för att leverera i enlighet med direktivet.

Enligt tidigare direktivet NIS ska berörda leverantörer vidta säkerhetsåtgärder för att hantera risker och incidenter i nätverk- och informationssystem som de är beroende av för att kunna tillhandahålla sina tjänster. Eventuella incidenter som har en betydande eller avsevärd påverkan på kontinuiteten i tjänsterna ska därtill rapporteras. Enligt NIS2 kommer även minimikrav införas på berörda aktörer för de åtgärder som de behöver tillämpa för att hantera risker kopplade till säkerheten i deras nätverks och informationssystem. Därutöver blir rapporteringskraven mer precisa (Regeringen, 2023).

Reflektioner kring NIS2, kommuner och deras välfärdsteknik

Kommuner har idag ett stort ansvar som omsorgsgivare där kommunens tjänster bör anses som samhällsviktiga inom sektorn hälso- och sjukvård. Således kan kommuner komma att behöva vidta säkerhetsåtgärder gällande de nätverk- och informationssystem som kommunerna är beroende av för att tillhandahålla sina omsorgstjänster. Exempel på sådana nätverk- och informationssystem är de relaterade till kommunernas upphandlade välfärdstekniska tjänster så som trygghetslarm eller tillsynskamera.

Förutom att kommunerna har upphandlat leverantörer av välfärdstekniska tjänster så använder kommunerna eller leverantörerna även underleverantörer för uppkopplingen av dessa tjänster, så som mobil eller fast uppkoppling. Även om kommunerna inte innehar några nätverk- eller informationssystem direkt relaterade till dessa uppkopplingstjänster så behöver kommunerna sannolikt säkerställa att dessa underleverantörer följer direktiven i och med att kommunens välfärdstekniska tjänster bör anses samhällsviktiga och de i sin tur är beroende av dessa uppkopplingstjänster.

En praktiskt tillämpbar säkerhetsåtgärd för att hantera eventuella risker och incidenter relaterade till dessa underleverantörers nätverk- och informationssystem är för kommunerna att arbeta med just både mobil och fast uppkoppling från respektive underleverantör för att således åstadkomma redundans. Det kan dock ifrågasättas huruvida NIS2-direktivet kan appliceras i den bemärkelsen i och med att säkerhetsåtgärden då inte implementeras hos den faktiska underleverantören utan i stället hos kommunerna.

En grundförutsättning för ovan resonemang förutsätter att kommuner som omsorgsgivande aktör faktiskt omfattas av NIS2-direktivet. Närmst till hands bör vara att kommuner som avgörande aktörer inom leveransen av välfärdstekniska tjänster anses vara en aktör av samhällsviktiga tjänster inom sektorn hälso- och sjukvård. Annars är det eventuellt upp till den i Sverige utsedda utredaren att avgöra om kommuner ska inkluderas i sektorn ”offentlig förvaltning” som tillkommit i NIS2 eller om ”offentlig förvaltning” endast ska beröra statliga myndigheter och regioner (Regeringen, 2023).

Beträffande leverantörerna av uppkopplingstjänsterna så skulle vissa av dessa kunna komma att omfattas av NIS2 oavsett om de är del eller inte av kommunerna leverans av välfärdstekniska tjänster. Inkluderat i sektorn ”digital infrastruktur” är nämligen tjänster inom kategorin ”allmänna elektroniska kommunikationsnät- och tjänster”. Post- och telestyrelsens (2023) har publicerat en redogörelse för applicering av NIS2 på PTS-sektorer där dessa aktörer berörs mer i detalj. Som exempel från denna redogörelse så skulle dessa aktörer kategoriseras i viktiga och väsentlig entiteteter där en viktig entitet då behöver vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk- och informationssystem. Detta innebär att sådana bolag minst ska arbeta enligt följande riskhanteringsåtgärder:

• Strategier för riskanalys och informationssystemens säkerhet
• Incidenthantering
• Driftskontinuitet som exempelvis hantering av säkerhetskopiering
• Säkerhet i leveranskedjan
• Säkerhet vid förvärv
• Strategier och förfaranden för att bedöma riskhanteringsåtgärderna
• Grundläggande praxis för cyberhygien och utbildning
• Strategier för användning av krypto
• Personalsäkerhet, strategier för åtkomstkontroll
• Användning av multifaktorautentisering och säkrade kommunikationer

Därtill ska dessa bolag rapportera betydande incidenter och underrätta bolagets mottagare av tjänsten, i det här fallet kommunerna, gällande åtgärder de kan vidta som svar på betydande cyberhot. En betydande incident ska enligt definition undergräva tillgänglighet, autenticiteten, riktigheten eller konfidentialiteten samt

1. Har orsakat eller kan orsaka allvarliga driftstörningar för tjänsterna eller ekonomiska förluster för entiteten.
2. Har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Slutord

Kraven i NIS2 och redan etablerade rutiner hos de flesta svenska telekombolag är sannolikt redan relativt samstämmiga. Justeringar kommer dock behöva göras hos berörda aktörer för att fullt ut leva upp till kraven och således åstadkomma den enligt NIS2 eftersträvade mindre fragmenterade inre marknaden.

Både NIS2 och CER kommer sannolikt påverka leveransen av välfärdsteknik i samhället men kvar finns frågor bland annat gällande vilka aktörer som kommer påverkas. Det slutgiltiga beskedet av hur kommuner, regioner, leverantörer och deras underleverantörer kommer påverkas avgörs senast 18e oktober 2024.

Källor

Regeringen (23e feb 2023). Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft. Hämtat 2023-10-05.

SKR (27 sep 2023). Lanseringsseminarium om skriften Trygga säkra informationsmiljöer - ur ett fastighetsperspektiv.

MSB (2023). NIS-Direktivet. Hämtat 2023-10-10.

Svenskt Vatten (1 sep 2022). NIS-direktivet. Hämtat 2023-10-23. 

Post- och telestyrelsen (15 feb 2023). Information om NIS2 för PTS sektorer. Hämtat 2023-10-10.