Du måste aktivera javascript för att sverigesradio.se ska fungera korrekt och för att kunna lyssna på ljud. Har du problem med vår sajt så finns hjälp på http://kundo.se/org/sverigesradio/

Snart måste alla rapportera it-incidenter

Publicerat måndag 10 oktober 2016 kl 11.21
En person sitter vid en dator. Foto: Damian Dovarganes/TT.
Foto: Damian Dovarganes/TT.

Nya EU-regler kräver att myndigheter och företag i särskilt känsliga sektorer rapporterar in alla allvarliga händelser som drabbar it-systemen.

Sedan första april i år är det obligatoriskt att rapportera in allvarliga it-incidenter. Lagen gäller dock enbart statliga myndigheter, och har vissa undantag. I Sverige har enheten Cert.se som hör till MSB, Myndigheten för samhällsberedskap, ansvaret för att ta emot och sammanställa dessa rapporter.

Det kan röra sig om saker som medvetna och riktade hackerattacker, virusinfektioner eller andra fel och haverier som påverkar systemen. Som Ekot kunde berätta i dag har myndigheten fått in 131 rapporter, varav sju lett till polisanmälan.

Lagen är första steget för att uppfylla nya EU-regler, det så kallade NIS-direktivet som står för Nätverks- och informationssäkerhet. När det direktivet införs fullt ut i Sverige kommer även kravet på rapportering omfatta kommuner, landsting och privata företag i vissa särskilt viktiga branscher, bland annat energi, bankverksamhet och sjukvård.

Problemet med att få in rapporter från myndigheter och andra organisationer har diskuterats länge och det har visat sig svårt att få det att ske frivilligt.

En person som varit kritisk till att svenska myndigheter vägrat rapportera incidenter och istället prioriterat att behålla ansiktet är säkerhetsexperten Leif Nixon.

– Det mest upprörande exemplet var Kronofogdemyndigheten som totalt försökte mörka ett intrång. De ombads av åklagaren att lämna in vilken skada de lidit, jag har sett svaret och det är totalt obegripligt, säger Leif Nixon.

Händelsen blev känd 2013, men intrånget hade skett två år tidigare, rapporterade DN. Svaret innehöll enligt Leif Nixon en lista på filnamn men ingen information om vad de innehöll. Vad som faktiskt hade skett var att hela databasen med skuldsatta svenskar stulits av hackare, känslig information om en halv miljon privatpersoner och företag.

– De avslutar med att säga att den enda egentliga skadan de lidit är sitt varumärke, jag tycker kanske inte att Kronofogden ska värna om sitt varumärke i första hand.

Även om lagen i dag enbart omfattar statliga myndigheter uppmanar MSB redan i dag även kommuner, landsting och privata företag att rapportera händelser. Förhoppningen är att få en komplett bild av de händelser som sker för att bättre kunna samordna arbetet.

Utredningen om hur NIS-direktivet ska införas i svensk lag pågår nu och ska presenteras senast 1 maj 2017. Leif Nixon tycker dock att det tagit alldeles för lång tid.

– Det är ett litet steg framåt men första gången det här kom på tal var 1998 så jag tycker det är lite ynkligt att det skulle ta 18 år att få det på plats.

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Har du frågor eller förslag gällande våra webbtjänster?

Kontakta gärna Sveriges Radios supportforum där vi besvarar dina frågor vardagar kl. 9-17.

Du hittar dina sparade avsnitt i menyn under "Min Lista".