Vi får ibland frågan och möter ibland påståenden om att säkerhetsskydd, NIS2, CER och andra författningar och direktiv inte har med varandra att göra.
Vi vill på ett enkelt vis beskriva vår syn på det – och hur Skandinaviska Säkerhetsutbildningar bygger holistiska och praktiska utbildningar där våra kursdeltagare verkligen bygger förmåga att jobba systematiskt och övergripande med alla förekommande lagstadgade krav som ställs på deras verksamheter och organisationer.
Den svenska säkerhetsskyddslagen (2018:585), NIS2-direktivet och CER-direktivet (Critical Entities Resilience) utgör tre centrala regelverk för att skydda kritisk infrastruktur och samhällsviktiga verksamheter från säkerhetshot. Dessa regelverk är särskilt viktiga för kommunal verksamhet, livsmedelsförsörjning, vattensäkerhet och andra samhällskritiska funktioner. De ställer krav på säkerhetsskydd, cybersäkerhet, riskhantering och incidentrapportering. Nedan beskrivs de viktigaste gemensamma nämnarna och hur de påverkar olika sektorer.
Gemensamma nämnare mellan säkerhetsskyddslagen, NIS2 och CER-direktivet
Skydd av kritisk infrastruktur
Alla tre regelverken syftar till att skydda samhällsviktiga verksamheter från säkerhetshot:
• Säkerhetsskyddslagen reglerar skyddet av verksamheter som har betydelse för Sveriges säkerhet.
• NIS2-direktivet fokuserar på cybersäkerhet för digitala tjänster och viktiga samhällsfunktioner inom EU.
• CER-direktivet stärker resiliensen i fysisk infrastruktur såsom energi, transport och vattenförsörjning.
Riskhantering och säkerhetsåtgärder
Samtliga regelverk kräver att organisationer genomför riskanalyser och vidtar åtgärder för att minska hot:
• Säkerhetsskyddslagen kräver säkerhetsskyddsanalys och säkerhetsåtgärder.
• NIS2-direktivet ställer krav på cybersäkerhetsåtgärder och incidenthantering.
• CER-direktivet föreskriver åtgärder för att stärka resiliensen mot både digitala och fysiska hot.
Tillsyn och efterlevnad
För att säkerställa att aktörer följer regelverken krävs tillsyn:
• Säkerhetsskyddslagen kontrolleras av Säkerhetspolisen och Försvarsmakten.
• NIS2-direktivet innebär tillsyn från nationella cybersäkerhetsmyndigheter.
• CER-direktivet kräver att medlemsstater identifierar och övervakar kritiska entiteter.
Rapporteringskrav och incidenthantering
• Säkerhetsskyddslagen kräver att organisationer rapporterar hot och incidenter som kan påverka rikets säkerhet.
• NIS2-direktivet innehåller detaljerade krav på incidentrapportering inom cybersäkerhet.
• CER-direktivet kräver rapportering av incidenter som kan påverka kritisk infrastruktur.
Sanktioner vid bristande efterlevnad
Om aktörer inte uppfyller regelverken kan de drabbas av sanktioner:
• Säkerhetsskyddslagen har straffrättsliga påföljder vid bristande säkerhetsskydd.
• NIS2-direktivet inför kraftiga böter för organisationer som bryter mot cybersäkerhetskraven.
• CER-direktivet kräver att medlemsstater inför åtgärder för att säkerställa efterlevnad.
Samverkan mellan offentliga och privata aktörer
• Säkerhetsskyddslagen ställer krav på att både statliga och privata aktörer skyddar känslig information.
• NIS2-direktivet kräver samarbete mellan företag och myndigheter inom cybersäkerhet.
• CER-direktivet föreskriver samverkan för att stärka motståndskraften i kritisk infrastruktur.
Fokus på både fysiska och digitala hot
• Säkerhetsskyddslagen täcker både informationssäkerhet och fysiskt skydd.
• NIS2-direktivet fokuserar främst på cybersäkerhet.
• CER-direktivet omfattar både digitala och fysiska hot.
Konsekvenser för samhällsviktiga verksamheter
När säkerhetsskyddslagen, NIS2-direktivet och CER-direktivet implementeras måste kommunal verksamhet, livsmedelsförsörjning, vattensäkerhet och andra samhällskritiska funktioner anpassa sina säkerhetsåtgärder. Nedan beskrivs hur dessa regelverk påverkar olika sektorer.
Kommunal verksamhet
Kommuner hanterar flera kritiska samhällsfunktioner såsom räddningstjänst, socialtjänst, energiförsörjning och vattenförsörjning. Dessa verksamheter måste stärka både sitt fysiska och digitala skydd:
• Säkerhetsskydd: Kommuner hanterar känslig information och måste genomföra säkerhetsskyddsanalyser.
• Cybersäkerhet: IT-system som används för samhällskritiska funktioner måste skyddas mot cyberattacker.
• Resiliens och fysisk säkerhet: Kritisk infrastruktur såsom vattenverk och elnät måste förstärkas.
• Incidentrapportering: Kommunala aktörer måste ha rutiner för att rapportera säkerhetsincidenter.
Livsmedelsförsörjning
Livsmedelsproduktion och distribution är beroende av både digitala system och fysisk infrastruktur:
• Skydd av kritiska system: Digitala system för jordbruk och livsmedelsproduktion måste skyddas mot cyberattacker.
• Fysisk säkerhet: Livsmedelslager och produktionsanläggningar måste skyddas från sabotage och naturkatastrofer.
• Försörjningskedjor: Leveranskedjor måste analyseras för att minska sårbarheter.
• Risk- och sårbarhetsanalyser: Regelbundna analyser krävs för att identifiera hot.
Vattensäkerhet
Vattenförsörjningen är en av de mest kritiska samhällsfunktionerna och omfattas av alla tre regelverken:
• Cybersäkerhet: Digitalt styrda vattenreningsverk och distributionssystem måste skyddas mot cyberhot.
• Fysisk säkerhet: Vattenreservoarer och reningsverk måste skyddas mot sabotage.
• Säkerhetsskydd: Vattenförsörjning kan vara av nationell säkerhetsbetydelse och omfattas av säkerhetsskyddslagen.
• Incidenthantering: Snabb rapportering av incidenter krävs för att minimera störningar.
Andra samhällsviktiga verksamheter
Flera andra sektorer påverkas av dessa regelverk, inklusive energi, transport och sjukvård:
• Energi: Kraftverk och elnät måste skyddas från cyberattacker och fysiska hot.
• Transport: Järnvägar, hamnar och flygplatser måste stärka sin säkerhet mot attacker.
• Sjukvård: Digitala system inom sjukvården måste skyddas från dataintrång och cyberhot.
Slutsats
För att möta kraven i säkerhetsskyddslagen, NIS2-direktivet och CER-direktivet måste samhällsviktiga verksamheter vidta följande åtgärder:
1. Genomföra säkerhetsanalyser för att identifiera hot och sårbarheter.
2. Implementera cybersäkerhetsåtgärder för att skydda IT-system och kritisk infrastruktur.
3. Förstärka fysisk säkerhet för att skydda mot sabotage och naturkatastrofer.
4. Införa rutiner för incidentrapportering för snabb hantering av säkerhetshot.
5. Öka samverkan mellan aktörer för att stärka samhällets motståndskraft.
Genom att aktivt integrera dessa säkerhetskrav i den dagliga verksamheten kan kritiska samhällsfunktioner skyddas mot framtida hot och störningar. Våra utbildningar ger kunskap och bygger färdighet för att bedriva ett sådant systematiskt säkerhetsarbete.