En person sitter vid en dator. Foto: Damian Dovarganes/TT.
Foto: Damian Dovarganes/TT.

Snart måste alla rapportera it-incidenter

Nya EU-regler kräver att myndigheter och företag i särskilt känsliga sektorer rapporterar in alla allvarliga händelser som drabbar it-systemen.

Sedan första april i år är det obligatoriskt att rapportera in allvarliga it-incidenter. Lagen gäller dock enbart statliga myndigheter, och har vissa undantag. I Sverige har enheten Cert.se som hör till MSB, Myndigheten för samhällsberedskap, ansvaret för att ta emot och sammanställa dessa rapporter.

Det kan röra sig om saker som medvetna och riktade hackerattacker, virusinfektioner eller andra fel och haverier som påverkar systemen. Som Ekot kunde berätta i dag har myndigheten fått in 131 rapporter, varav sju lett till polisanmälan.

Lagen är första steget för att uppfylla nya EU-regler, det så kallade NIS-direktivet som står för Nätverks- och informationssäkerhet. När det direktivet införs fullt ut i Sverige kommer även kravet på rapportering omfatta kommuner, landsting och privata företag i vissa särskilt viktiga branscher, bland annat energi, bankverksamhet och sjukvård.

Problemet med att få in rapporter från myndigheter och andra organisationer har diskuterats länge och det har visat sig svårt att få det att ske frivilligt.

En person som varit kritisk till att svenska myndigheter vägrat rapportera incidenter och istället prioriterat att behålla ansiktet är säkerhetsexperten Leif Nixon.

– Det mest upprörande exemplet var Kronofogdemyndigheten som totalt försökte mörka ett intrång. De ombads av åklagaren att lämna in vilken skada de lidit, jag har sett svaret och det är totalt obegripligt, säger Leif Nixon.

Händelsen blev känd 2013, men intrånget hade skett två år tidigare, rapporterade DN. Svaret innehöll enligt Leif Nixon en lista på filnamn men ingen information om vad de innehöll. Vad som faktiskt hade skett var att hela databasen med skuldsatta svenskar stulits av hackare, känslig information om en halv miljon privatpersoner och företag.

– De avslutar med att säga att den enda egentliga skadan de lidit är sitt varumärke, jag tycker kanske inte att Kronofogden ska värna om sitt varumärke i första hand.

Även om lagen i dag enbart omfattar statliga myndigheter uppmanar MSB redan i dag även kommuner, landsting och privata företag att rapportera händelser. Förhoppningen är att få en komplett bild av de händelser som sker för att bättre kunna samordna arbetet.

Utredningen om hur NIS-direktivet ska införas i svensk lag pågår nu och ska presenteras senast 1 maj 2017. Leif Nixon tycker dock att det tagit alldeles för lång tid.

– Det är ett litet steg framåt men första gången det här kom på tal var 1998 så jag tycker det är lite ynkligt att det skulle ta 18 år att få det på plats.

Relaterat

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade avsnitt i menyn under "Min lista".