För en förbättrad cybersäkerhet

Om Systematiskt säkerhetsarbete

Tycker till om: Lagrådsremissen – den nya Cybersäkerhetslagen

Som tidigare nämnts i inlägg så finns en hel del intressant läsning i lagrådsremissen som kom den 12 juni. Speciellt i bilaga 5 och 6. En punkt som borde få mer utrymme är 6.3. Den säger att regeringen har (i lagförslaget) valt att avstå från att införa en särskild bestämmelse – om att verksamhetsutövare ska bedriva ett systematiskt och riskbaserat säkerhetsarbete.

Detta trots att:
1. Utredning som låg till grund för lagförslaget föreslog att det skulle vara en bestämmelse. Och att det dessutom skulle utses en myndighet som skulle få meddela föreskrifter i frågan.
2. Kravet finns i den nuvarande NIS-lagen (11 §). I lagrådsremissen noterades det också att ”ett systematiskt och riskbaserat arbete är väletablerat och svarar mot existerande arbetssätt och standarder”.
3. Flertalet tunga remissinstanser föreslagit att tillsynsmyndigheterna dessutom bör ges möjligheter att ingripa, mot verksamhetsutövares brister i det systematiska och riskbaserade informationssäkerhetsarbetet.
4. MSB uttrycker i sitt remissyttrande att flera undersökningar visar att ett systematiskt och riskbaserat arbete inte prioriteras idag i verksamheterna. Och att det leder till incidenter som skulle kunnat undvikas.

Varför är det viktigt då?

Det framgick dessutom med all tydlighet under MSBs cybersäkerhetskonferens okt 2024 att trots att NIS-lagen funnits ett par år, är det stora brister i verkställande och i uppföljningen av de säkerhetsåtgärder som redan borde funnits på plats.

Regeringens motiv till att inte gå på utredningens förslag är att man anser det vara en ”dubbelreglering” med redan kravställda säkerhetsåtgärder som redovisas längre bak.

Fråga: När man inom såväl EU och nationellt haft en för otydlig och svag styrning och uppföljning gällande säkerhetsåtgärdernas införande och uppföljningen av dem…

Fråga: Och när man nu gör en rejäl Kraftsamling nationellt avseende säkerheten för skyddsvärden, ur ett allriskperspektiv…

…varför tar man då inte chansen och utvecklar, styr upp, förstärker det som behöver förtydligas, lyftas upp och klargöras. NIS2 sätter minikraven för en hög gemensam cybersäkerhet inom EU. Direktivet utgör inte ett tak.

Lagrådsremissen: Trots ovan står det att ”ett företag som bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete är något som enligt regeringen kan skapa förtroende och signalera att det är tryggt att investera i företaget”. Dvs det skulle öka konkurrenskraften. Enligt mig skulle det också underlätta för tillsynsorganen att bedriva en systematisk och effektiv tillsyn.

Hur kunde man göra istället?

Det är olyckligt och märkligt att regeringen inte lägger större vikt vid att behålla det som hittills byggts upp. När man nu kunde vidareutveckla det istället, och ger tydligare direktiv och effektivare verktyg där det behöver förbättras.

Ett ev. missförstånd kring en ”dubbelreglering” är ett väldigt lågt pris att betala och hantera i jämförelse med en fortsatt vag- och svaghet i styrningen för ”en hög gemensam cybersäkerhet i EU”.

//