Yttrande över Myndigheten för samhällsskydd och beredskaps förslag till föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster, med flera på sakområdet angränsande förslag

Regelrådets ställningstagande:

Konsekvensutredningen uppfyller kraven

Till följd av ny lag (2018:1174) respektive förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster föreslår Myndigheten för samhällsskydd och beredskap (MSB) fem nya föreskrifter.

Lagen och förordningen genomför Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen (NIS-direktivet). NIS-direktivet avser bindande miniminivåer. Det står medlemsstaterna fritt att skärpa kraven i direktivet.

Direktivet, lagen, förordningen och de nu föreslagna föreskrifterna berör flera samhällsviktiga sektorer; energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

Av lagen framgår vilka kriterier som ska uppfyllas för att vara leverantör av samhällsviktiga tjänster. De aktörer som är aktiva inom en eller flera av de berörda sektorerna behöver identifiera om de omfattas av regleringen. Föreskriftsförslaget om anmälan och identifiering av leverantörer[1] specificerar närmare vilka tjänster inom varje sektor som ska anses vara samhällsviktiga och vad som är att anse som en betydande störning vid tillhandahållande av tjänsten. Förteckningen över vad som ska anses vara samhällsviktiga tjänster utgår från NIS-direktivets bilaga II, med mindre justeringar för att passa den svenska marknaden. Skyldigheten för leverantörer att bedöma om deras verksamhet kan anses utgöra samhällsviktig tjänst följer av NIS-direktivet och i svensk rätt av lag (2018:1174). Föreskriften syftar till att hjälpa leverantörerna i deras bedömning. Föreskrifterna reglerar även hur en identifierad aktör ska anmäla detta till tillsynsmyndigheten.

I förslaget som avser informationssäkerhet[2] ställs krav på att det systematiska och riskbaserade informationssäkerhetsarbetet, som enligt lagen ska bedrivas av leverantörerna, ska ske utifrån de internationellt accepterade och väl kända standarderna SS-EN ISO/IEC 27001 och
SS-EN ISO/IEC 27002. Standarderna bygger på samlade erfarenheter från olika verksamheter och länder och syftar till att uppnå ett effektivt arbete med informationssäkerhet.

Enligt 18 § lagen är leverantörerna skyldiga att rapportera incidenter som har en betydande inverkan på kontinuiteten i en samhällsviktig tjänst. I bedömningen om vad som ska avses med betydande inverkan ska enligt förordning antalet påverkade användare beaktas, hur länge incidenten varar och storleken på det geografiska området som påverkas. Enligt förordningen ska MSB, årligen till EU:s samarbetsgrupp, lämna en sammanfattande rapport om de incidentrapporter som mottagits i enlighet med lagen. Rapporten ska innehålla antalet rapporter, rapporterade incidenters art samt vilka åtgärder som vidtagits. MSB ska också informera berörda länder i EU om en incident som rapporterats av en leverantör har en betydande inverkan på kontinuiteten i samhällsviktiga tjänster i det landet. Föreskriftsförslaget som avser incidentrapportering för leverantörer[3] tydliggör kraven avseende vad, när och hur incidentrapportering till myndigheten ska ske.

Enligt föreskriftsförslaget ska en initial notifiering ske inom sex timmar efter att leverantören har identifierad en incident som rapporteringspliktig och uppföljande rapportering ska ske inom 24 timmar. Tidsfristen räknas från den tidpunkt då leverantören, med stöd av sina interna processer och rutiner, upptäcker incidenten. Bedömningen är att incidentrapporteringen bör ske efter de första kritiska åtgärderna för att avhjälpa incidenten har vidtagits. Den mängd information som ska lämnas inom sex timmar och även anvisade kontaktvägar är anpassade efter skyndsamhetskravet.

När det gäller incidentrapportering för leverantörer av digitala tjänster[4] tydliggör även detta föreskriftsförslag kraven avseende vad, när och hur incidentrapportering till MSB ska ske. Vad som ska rapporteras är däremot i högre grad styrt av EU-rätten än i fallet med leverantörer av samhällsviktiga tjänster. Enligt NIS-direktivet ska leverantörer vidta säkerhetsåtgärder i nätverk och informationssystem samt rapportera incidenter. Med digitala nätverk avses internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Säkerhetskrav och krav på vilka incidenter som ska rapporteras regleras i Kommissionens genomförandeförordning (EU) 2018/151. I genomförandeförordningen specificeras de aspekter som ska beaktas av leverantörer av digitala tjänster när de hanterar risker som hotar säkerheten i deras nät- och informationssystem samt parametrarna för fastställande av om en incident har avsevärd inverkan och därmed är rapporteringspliktig. EU:s medlemsstater får inte införa ytterligare säkerhets- eller rapporteringskrav för leverantörer av digitala tjänster. Samma tidsfrister föreslås för incidentrapporteringen som för förslaget för leverantörer av samhällsviktiga tjänster.

Föreskriftsförslaget om frivillig incidentrapportering[5] tydliggör kraven på vad, när och hur incidentrapporteringen till MSB ska ske i syfte att MSB på ett enhetligt och strukturerad sätt ska kunna ta emot och använda rapporterna samt hjälpa den rapporterande aktören.

Förslaget om frivillig incidentrapportering bygger på frivillighet och det finns, enligt Regelrådets bedömning, inget i förslaget som tyder på ett indirekt tvång. Regelrådet väljer därför att inte yttra sig över det föreskriftsförslaget.

[1] Förslag till föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster, dnr 2018-05893.
[2] Förslag till föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster, dnr 2017-11001.
[3] Förslag till föreskrifter om rapportering av incidenter för leverantörer av samhällsviktiga tjänster, dnr 2017-10972.
[4] Förslag till föreskrifter om rapportering av incidenter för leverantörer av digitala tjänster, dnr 2018-05920.
[5] Förslag till föreskrifter om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet,
dnr 2018-05921.