”The Directive on security of networks and information systems” är EU:s metod för att höja medlemsstaternas cyberskyddsnivå när det gäller samhällskritisk infrastruktur.
Åtta samhällssektorer omfattas av NIS: energi, transport, hälso- och sjukvård, finansmarknader, bank, dricksvatten, digital infrastruktur och digitala tjänster. Genom att höja säkerheten i de utpekade sektorerna skall samhällets robusthet mot yttre störningar höjas. Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker.
Införandet sker under stor tidspress vilket ökar risken för hastverk och därmed slöseri med resurser. Genom att fokusera på verkan kan slöseri undvikas.
Så införs NIS i Sverige
NIS-utredningen (SOU 2017:36) föreslår att MSB får rollen som samordnande myndighet. MSB skall tillsammans med sex tillsynsmyndigheter se till att NIS fungerar. Nu är utredningen på remiss fram till 15:e augusti. Därefter skall remissvaren utvärderas, riksdagen besluta, lagändringen träda i kraft, tillsynsmyndigheterna få upp farten och verksamheterna anpassa sig. Tidspressen kommer vara hård med att få ihop detta till den 10:e maj 2018.
En följd av den korta tiden från beslut till införande gör att många genvägar har tagits för att uppfylla direktivets bokstav, genom att offra direktivets syfte. Konsekvensen blir att mycket arbete riskerar att slösas bort till begränsad nytta för cybersäkerheten.
I skuggan av GDPR
Till skillnad från GDPR så är NIS mer otydlig. Där GDPR kravställer specifika åtgärder överlåter NIS detta till best practices och nationella tillsynsmyndigheter. I GDPR finns aviserat tydliga (och skyhöga) sanktionsavgifter. I NIS finns unionsövergripande harmonisering av sanktionsavgifter – men ingen tydlig indikation på vilken nivå avgifterna kommer att hamna. Allt detta gör att NIS riskerar att prioriteras ned och försenas.
Hur kan effektiviteten höjas?
Den viktigaste åtgärden är att tillsynsmyndigheterna samordnar och konkretiserar sin kravställning. Samma problem behöver samma lösning oavsett bransch. Genom att konkret föreslå hur man skall lösa olika problem undviker man metodutveckling i stuprör.
Det är ett mycket stort antal verksamheter som skall anpassa sig – det behöver vara enkelt att göra rätt.
Om tillsynsmyndigheterna är diffusa i sin kravställning blir resultatet att tolkningsproblematiken knuffas över på verksamheterna. Detta ger dyrare och sämre verkan för Sveriges cybersäkerhet.