Cybersäkerhet allt viktigare
Med rådande säkerhetsläge i vårt närområde har cybersäkerheten blivit allt viktigare. Vi ser allt fler belastningsattacker på våra myndigheter, företag och sociala medier. Informationssäkerhet är därmed en viktig aspekt i dagens utsatta och alltmer digitaliserade samhälle. För järnvägsföretag som tillhandahåller samhällsviktiga tjänster är informationssäkerheten avgörande för att kunna bedriva verksamhet. För att stärka skyddet införde EU NIS2, Network and Information Systems Directive 2, som en uppdatering av det tidigare NIS-direktivet.
EU beslutade om NIS2 2022 och i Sverige har nu utredningen om hur NIS2 ska införlivas i svensk lagstiftning kommit ut på remiss, SOU2024:18. Medlemsländerna har till oktober 2024 på sig att implementera NIS2.
Det som skiljer NIS och NIS2 är bland annat vilka verksamheter som direktivet omfattar. NIS omfattar organisationer som tillhandahåller samhällsviktiga tjänster och verksamheter som levererar digitala tjänster. Enligt NIS är det upp till respektive medlemsstat att avgöra vilken aktör som tillhör vilken kategori.
När det kommer till NIS2 har verksamheterna som omfattas specificerats mer. NIS2 omfattar väsentliga entiteter, viktiga entiteter och gränsöverskridande verksamheter. NIS2 tydliggör att hela verksamheten omfattas – även om det endast är en del tillhandahåller samhällsviktiga tjänster.
I det nya direktivet åläggs medlemsstaterna att, genom utsedd kontrollmyndighet, föra register över berörda verksamheter. Dessa ska redovisas till en central kontrollfunktion inom EU. Medlemsstaterna skall upprätta detta register senast 1 mars 2025. Denna typ av redovisning är ny för NIS2.
NIS2 innefattar också krav på regelbundna säkerhetstester där olika säkerhetsnivåer i systemet testas. Utredningen föreslår därmed att medlemsstaternas CSIRT ska utföra icke-invasiva sårbarhetstester. Dessa ska kunna genomföras utan förvarning.
Vad gäller tillsyn sätter de nya områdena i NIS2 krav på fler tillsynsmyndigheter. Utredningen föreslår därmed att de fem största länsstyrelserna åläggs att genomföra tillsyn. Transportstyrelsen kvarstår dock som tillsynsmyndighet för transportsektorn. Vid brott mot NIS2 föreslås också fyra nya sanktioner:
- anmärkning,
- information till användare om betydande cyberhot,
- offentliggörande av överträdelse,
- förbud för personer att utöva ledningsfunktioner.
Till detta kan sanktionsavgifter tillkomma.
Tågföretagen ser givetvis positivt på att regleringar kring informationssäkerhet skärps. Dock vill vi lyfta fram att det är av stor vikt att de förändringar som NIS2 innebär, införs i en acceptabel takt som inte medför alternativa risker under implementeringsfasen. För hög ambition kan initialt leda till mer skada än nytta.