Nätverks- och informationssäkerhet: utan privatpersoner i centrum
Nätverks- och informationssäkerhet (NIS) fortsätter stå högt på regeringens agenda. I den nyss släppta statliga digitaliseringsstrategin är implementationen av EU:s nya direktiv om NIS (Direktiv 2016/1148) den enda åtgärden som föreslås där det finns en rimlig möjlighet att förutsäga konkreta utfall av åtgärden. Men utredningen lämnar en del att önska.
Expertgruppen som utredaren har haft till hands har bestått av myndighetsjurister och jurister från statliga affärsverk. Denna begränsade kunskapspool har lett till en styvmoderlig behandling av EU-direktivets ofrånkomliga tekniska och ekonomiska karaktär. EU stiftar nämligen företrädelsevis marknadslagstiftning, och EU:s lagstiftare är därför i högre utsträckning än många svenska krislagstiftningshanterande jurister medvetna om ekonomiska aspekter av säkerhet: det kostar att investera i säkerhet, och beroende på de operativa riskerna med att något går fel, är det inte säkert att return-on-investment är tillräckligt hög. Incitamentslära och handlingsimperativ (hur ger man rätt aktörer rätt incitament att agera på rätt sätt så ofta som möjligt) genomsyrar alltså bestämmelserna i direktivet på ett sätt man inte nödvändigtvis förväntar sig av till exempel svenska säkerhetsskyddslagen. Den senare är istället mer kontrollbetonad: genom inspektioner och föreskrifter framtvingar en myndighet (Säkerhetspolisen, till exempel) sådana åtgärder som myndigheten tycker är bra.
Eftersom IT-säkerhet inom de senaste 10 åren gjort en flytt från Näringsdepartementet till Justitiedepartementet (via Försvarsdepartementet) är det fallet att utredningen inte uppenbarligen har haft kännedom om den systematik som finns i Sveriges övriga, konkurrens- och marknadsfrämjande, kommunikationslagstiftning. Däremot kan de ha haft god kännedom om kontrollagstiftning. Det skapar en del underliga problem:
Om varje myndighet är ansvarig för sitt eget område, men Post- och telestyrelsen (PTS) är ansvarig för digital infrastruktur, vad är det då för infrastruktur man menar uppstår i elnät, vattennät, och transportsektorn när dessa "digitaliseras"? PTS hamnar i den underliga sitsen att de eventuellt är ansvariga för allt möjligt, men förmodligen inte är det.
Den koordinerande Myndigheten för samhällsskydd och beredskap (MSB) ska hålla möten och samla in incidentrapporter, men syftet är som för den redan befintliga rapportering oklart. Incidentrapporterna ges inte karaktären av att vara det konsumentstöd de blivit i till exempel amerikanska delstater, och det är inte uppenbart att MSB heller har den tekniska sakkunskap och kompetens för att kunna använda incidentrapporterna till att bli ett meningsfullt stöd för företag och myndigheter som stöter på säkerhetsproblem. Ibland kan det hända att incidentrapportering i Sverige ska ske till Säkerhetspolisen istället för till en öppnare myndighet: då får medborgare och konsumenter inte alls reda på vad som hänt, eftersom det antas ligga i nationens intresse att vi hålls utanför. NIS-utredningen gör ingen ansats att förtydliga när vi måste offra inflytande och makt över myndigheter och företag vi har kontakt med för nationens skull.
En gulligare avvikelse är definitionen av nätverks- och informationssäkerhet, som är direktkopierad från förlagan i det europeiska direktivet. Enligt NIS-utredningen är nätverks- och informationssäkerhet att information i ett system är "tillgänglig, autentisk, riktig och konfidentiell". Detta är inte samma fyra begrepp som föreslagits utgöra basen i den svenska NIS-strategin av NIS-utredningen från 2015 (SOU 2015:23). Inte heller sammanfaller begreppen med de tre ord som vanligast används i internationellt IT-säkerhetsarbete (och som också syns i svensk IT-brottslagstiftning): confidentiality, integrity, availability (CIA).
I den europeiska lagstiftningsprocessen uppstår onödiga och konstiga dupliceringar av definitioner till följd av den långa lagstiftningsprocessen med många aktörer som ska vara med och kompromissa. Det svenska utredningsväsendet är tänkt att i alla fall för lagstiftning i direktivform kunna räta ut några av de frågetecken som kan uppstå i en sådan process, men har i det här fallet misslyckas - trots att NIS-utredningen från 2015 bara är två år gammal och fick mycket uppmärksamhet!
Dataskydd.net är remissinstans och kommer att återkomma med fler observationer.
Läs mer:
SOU 2017:36, Informationssäkerhet för samhällsviktiga och digitala tjänster:
http://www.regeringen.se/remisser/2017/05/remiss-av-sou-201736-informati...
Dataskydd.net, Remissyttrande över SOU 2015:23 – Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (2015.09.11):
https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...
Regeringen, Digitaliseringsstrategi (slutlig) (2017.05.18):
www.regeringen.se/49adea/contentassets/5429e024be6847fc907b786ab954228f/...