Europeisk och nationell reglering på gång inom försvar samt cyber- och informationssäkerhet
Den senaste tiden har en ökande trend av hackerattacker och IT-störningar uppmärksammats. Bland de mest framträdande händelserna i januari i år var bland annat attacken utförd av hackergruppen Akira, som riktades mot den finska IT-leverantören Tietoevry och påverkade över 120 myndigheter och företag. En annan allvarlig incident var när personuppgifter tillhörande 167 000 medlemmar i Coop läckte ut på Darknet till följd av en cyberattack. Dessa cyberattacker blir alltmer sofistikerade och integreras ofta i så kallade hybridhot. Dessa hot innefattar en kombination av cyberattacker, desinformationskampanjer och i värsta fall även fysiska hot. Denna utveckling understryker vikten av förbättrade säkerhetsåtgärder och ökad medvetenhet om cybersäkerhet. Att säkra samhällets digitala system mot dessa hot är inte bara en teknisk utmaning utan också en prioritet för nationell säkerhet och skydd av individens integritet.
NIS, NIS2 och CER
Arbetet med att höja cybersäkerhetsnivån och förstärka motståndskraften mot antagonistiska hot, särskilt mot samhällets kritiska infrastruktur, har blivit än mer angeläget i EU och Sverige. Den 18 oktober 2024 markerar ett viktigt steg i denna strävan, då NIS2-direktivet och CER-direktivet träder i kraft i samtliga EU-medlemsstater. Dessa direktiv introducerar strängare krav på säkerhetsåtgärder och utgör en uppdatering och förstärkning av det ursprungliga NIS-direktivet som antogs 2016. Genom dessa direktiv förstärks inte bara de rättsliga ramarna för cybersäkerhet utan även den övergripande motståndskraften mot de alltmer sofistikerade och mångfacetterade hoten som våra samhällen står inför idag. Implementeringen av dessa direktiv är ett viktigt steg mot ett säkrare digitalt Europa, där skyddet av kritiska tjänster och infrastruktur prioriteras högt.
Nya NIS-föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB)
NIS-direktivet, som syftar till att höja cybersäkerhetsnivån inom EU, har införlivats i svensk lagstiftning genom förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster, ofta kallad NIS-förordningen. Enligt förordningen är det obligatoriskt för MSB att regelbundet, minst vartannat år, revidera och uppdatera föreskrifterna om vilka tjänster som betraktas som samhällsviktiga. Detta reflekterar behovet av att kontinuerligt anpassa sig till den snabbt föränderliga cybersäkerhetsmiljön.
I linje med detta krav och som svar på identifierade behov av förändringar och förtydliganden, beslutade MSB:s generaldirektör den 16 januari 2024 om en revidering av föreskrifterna för anmälan och identifiering av samhällsviktiga tjänster. Bland revisionerna märks särskilt de ändrade kriterierna för samhällsviktiga tjänster inom finansmarknadsinfrastrukturen. Dessa reviderade föreskrifter, betecknade MSBFS 2024:4, kommer att träda i kraft den 1 mars 2024 och ersätta de tidigare föreskrifterna MSBFS 2021:9.
Vägledning om samhällsviktig verksamhet och totalförsvaret från MSB
MSB har tagit fram två viktiga publikationer som fungerar som vägledning för att stärka Sveriges totalförsvar och samhällets motståndskraft. Dessa är en metod för identifiering av samhällsviktig verksamhet respektive en vägledning för att identifiera sådan verksamhet som är nödvändig för totalförsvaret. Anledningen till detta är att MSB fått i uppdrag av regeringen att utarbeta dessa vägledningar. Rapporterna är avsedda att fungera som ett stöd för såväl offentliga som privata sektorer i deras arbete med att stärka skyddet av samhällsviktiga funktioner.
Rapporterna från MSB klargör att identifieringen av samhällsviktig verksamhet är avgörande för att stärka samhällets övergripande funktionalitet och beredskap inför kriser och krigsförhållanden. Samhällsviktig verksamhet definieras som verksamheter, tjänster eller infrastruktur som är essentiella för att upprätthålla samhällets grundläggande behov, värden och säkerhet. Exempel på sådana funktioner är t.ex. livsmedelstillverkning, tillsyn av barn och elever och läkemedelsförsörjning. Identifieringen av dessa verksamheter är centralt för att effektivt kunna prioritera resurser vid olika händelser, såsom pandemier, strömavbrott eller naturkatastrofer.
Vidare betonas i rapporterna vikten av att vissa samhällsviktiga verksamheter, på grund av deras kritiska betydelse för totalförsvaret, måste ha en förhöjd förmåga och uthållighet för att kunna fortsätta operera under höjd beredskap och i krigstid. Denna förstärkning ska baseras på nationella behov för att säkerställa att samhällets kärnfunktioner kan bibehållas, vilket i sin tur bidrar till landets försvarsförmåga.
Läs rapporterna här:
Metod för identifiering av samhällsviktig verksamhet: https://rib.msb.se/filer/pdf/30509.pdf
Vägledning för att identifiera samhällsviktig verksamhet som är nödvändig för totalförsvaret: https://rib.msb.se/filer/pdf/30508.pdf
Sammanfattning
Området för samhällsviktig verksamhet utvecklas kontinuerligt, både inom Sverige och internationellt. Därför är den publicerade vägledningen från MSB att betrakta som en första utgåva. Det är enligt MSB förväntat att denna vägledning kommer att uppdateras regelbundet för att spegla utvecklingen inom området, särskilt i ljuset av implementeringen av CER- och NIS2-direktiven samt ett svenskt Nato-medlemskap. Även föreskrifterna MSB utfärdat med stöd av NIS-lagstiftningen kommer behöva uppdateras när den svenska lagstiftningsprocessen med NIS2 är färdig. Dock behöver samhällsviktiga verksamheter redan nu implementera ett (cyber)säkerhetstänk för att hinna möta kommande juridiska krav och verkliga hot.
