Skärpta IT-säkerhetskrav pÃ¥ samhällsviktiga tjänster – vad gäller för energibranschen?

Införandet av EU:s dataskyddsförordning GDPR gick få förbi. EU har dock tagit krafttag mot bristande IT-säkerhet även på andra håll. Ett exempel på detta är EU-direktivet 2016/1148 om nätverks- och informationssäkerhet (NIS-direktivet), som tar sikte på leverantörer av samhällsviktiga tjänster, bland annat inom energisektorn. Överträdelser av regelverket kan bland annat resultera i sanktionsavgifter upp till 10 miljoner kronor. Den svenska huvudsakliga implementeringen började gälla den 1 augusti förra året. Den 1 mars i år trädde MSB:s föreskrifter om incidentrapportering för samtliga NIS-leverantörer i kraft. 

Vi på Setterwalls har tvärkompetens inom energi & råvaror samt IT-relaterade frågor och bistår gärna med rådgivning och analyser av vad detta kan innebära för er verksamhet.

NIS-direktivet fastställer åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom EU i syfte att förbättra den inre marknadens funktion. Regelverket ställer bland annat krav på att leverantörer av samhällsviktiga tjänster och vissa digitala tjänster ska arbeta systematiskt och riskbaserat med nätverks- och informationssäkerhet. Direktivet har genomförts i svensk rätt genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som trädde i kraft den 1 augusti 2018 tillsammans med en tillhörande förordning. Myndigheten för samhällsskydd och beredskap, MSB, har även utfärdat föreskrifter på området.

Vem omfattas
För att räknas som en leverantör av en samhällsviktig tjänst enligt lagen ska leverantören vara etablerad i Sverige och vara verksam inom någon av sektorerna energi, transport, bank, hälso- och sjukvård, eller tillhandahålla dricksvatten. Även aktörer som tillhandahåller digitala marknadsplatser där säljare och köpare kan sluta avtal (t.ex. Blocket.se), sökmotorer eller marknadsplatser för finansiella instrument omfattas av lagen. Som namnet antyder krävs även att en samhällsviktig tjänst tillhandahålls för att verksamheten ska omfattas. Enligt förarbetena kan en tjänst vara samhällsviktig när ett avbrott i tjänsten exempelvis genererar ekonomiska förluster, undergräver användarnas förtroende och medför allvarliga konsekvenser för landets och unionens ekonomi.

Det krävs också att tillhandahållandet av tjänsten är beroende av ett nätverk- och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av den. Vid bedömningen av om en incident skulle innebära en betydande störning ska en rad faktorer beaktas. Exempel på faktorer är antalet användare, leverantörens marknadsandel, geografiskt område och inverkan på ekonomisk och samhällelig verksamhet eller allmän säkerhet.

Aktörer inom energisektorn
Myndigheten för samhällsskydd och beredskap (MSB) har under hösten 2018 gett ut fem författningar till lagstiftningen, vilka bl.a. mer konkret listar vilka verksamheter som omfattas av skyldigheterna enligt lagen, samt vägledningar och ett metodstöd kopplade till dessa författningar. Den första författningen, MSBFS 2018:7, innehåller bestämmelser om anmälan och identifiering av samhällsviktiga tjänster. I författningen finns även en förteckning över samhällsviktiga tjänster där en incident skulle medföra en betydande störning. Inom energisektorn listas vilka tjänster som avses rörande el, olja och gasförsörjning. För el avses närmare definierade tjänster inom elöverföring, eldistribution, elproduktion samt elhandel som bedrivs av den som har balansansvar. När det gäller elproduktion omfattas produktion ansluten till stam- eller regionnät, med undantag för bl.a. elproduktion direkt ansluten till industri. Ett exempel på vad som omfattas enligt MSB:s vägledning är när det finns ett insamlingsnät för produktionen för en vindkraftpark med gemensam systemtransformator ansluten till stam- eller regionnät. Enstaka uttagspunkt i ett sådant nät ska dock enligt MSB inte beaktas.

För tjänster inom olja, även biodrivmedel och biobränslen, listas tjänster med olika volymtrösklar eller kapacitetsnivåer för olika förfoganden, även depåer och drivmedelslager. När det gäller gasförsörjning listas systemansvarstjänst för transmission, distributionssystem, handel och leverans av naturgas samt kondensering av naturgas och hantering av kondenserad naturgas som omfattar minst 20 GWh per år.

Skyldigheter
Leverantörer som omfattas av lagen har en skyldighet att anmäla sig till behörig tillsynsmyndighet, vilket för energisektorn är Energimyndigheten. Det ankommer sedan på aktören att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Detta innebär bland annat att man har en skyldighet att vidta ändamålsenliga och proportionella åtgärder för att hantera risker samt en skyldighet att förebygga och minimera verkningar av incidenter. Till grund för val av säkerhetsåtgärder ska berörda verksamheter upprätta en riskanalys där en åtgärdsplan ska ingå. Leverantörerna är också skyldiga att utan onödigt dröjsmål rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller till MSB.

Energimyndigheten har, precis som tillsynsmyndigheterna för övriga berörda sektorer, långgående undersökningsbefogenheter och möjlighet att meddela de förelägganden som behövs för att tillse att regelverket efterlevs. Tillsynsmyndighetens föreläggande får även förenas med vite.

Den andra av MSB:s fem författningar på området, MSBFS 2018:8, innehåller bestämmelser om det systematiska och riskbaserade informationssäkerhetsarbete som leverantörerna ska bedriva. De tre andra författningarna, MSBFS 2018:9-11, innehåller detaljerade bestämmelser om incidentrapporteringen. De två första författningarna trädde i kraft under hösten, medan de tre sistnämnda trädde i kraft den 1 mars 2019.

Sanktionsavgift
Den som underlåter att anmäla sig till tillsynsmyndigheten, underlåter att vidta säkerhetsåtgärder eller underlåter att rapportera incidenter riskerar en sanktionsavgift mellan 5 000 kronor och 10 miljoner kronor. Systemet med sanktionsavgift bygger på ett strikt ansvar och det krävs varken uppsåt eller oaktsamhet för att en avgift ska kunna tas ut. Även statliga myndigheter, kommuner och landsting kan påföras sanktionsavgift. Under vissa förutsättningar kan en sanktionsavgift helt eller delvis efterges.

Sekretessfrågor
En fråga av särskilt intresse för leverantörer är hur känslig information kommer att behandlas av berörda myndigheter i samband med tillsyn och incidentrapportering. En incidentrapport blir nämligen en allmän handling när den inkommer till myndigheten. En begäran att få ta del av handlingen måste alltid sekretessprövas utifrån reglerna i offentlighets- och sekretesslagen innan den kan lämnas ut. Av lagen följer bland annat att sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd som avser system för automatiserad behandling av information, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Samtliga sekretessbestämmelser som diskuteras i lagmotiven till den nya lagen bygger på ett s.k. rakt skaderekvisit. Det innebär att det finns en presumtion för offentlighet om det inte kan antas att ett utlämnade leder till skada.

Regeringen har bedömt att det nuvarande sekretesskyddet är fullgott, medan tunga remissinstanser, som Datainspektionen, Försvaret, FRA och MSB, har ansett att det krävs eller kan finnas behov av ett starkare skydd. Det har bland annat framförts att en för svag sekretess kan göra att aktörer väljer att inte incidentrapportera eller att lämna knapphändig information i sina incidentrapporter. Det har även anmärkts på svårigheten att i ett tidigt skede bedöma om uppgifter i incidentrapporter är säkerhetskänsliga och att skador är svåra att reparera i efterhand.

Datainspektionens ståndpunkt i frågan framgår också av att myndigheten tidigare valt att lämna ut incidentrapporter som lämnats enligt GDPR endast efter att ha dolt stora delar med hänvisning till sekretess. Av en dom från Kammarrätten i Stockholm i oktober förra året, avseende en incidentrapportering, framgår att vissa delar rätteligen sekretessmarkerats av Datainspektionen antingen med hänsyn till att uppgifterna gällde säkerhetsåtgärder på telekommunikationsområdet eller med hänsyn till att de rörde bolagets ekonomiska förhållanden. Sekretessen var dock långt ifrån så omfattande som Datainspektionen hade gjort gällande.

Sammanfattning
Sammanfattningsvis är regelverket inte helt lättillgängligt och ställer samtidigt omfattande krav på leverantörer av samhällsviktiga tjänster att arbeta kontinuerligt med nätverks- och informationssäkerhet. En noggrann efterlevnad av regelverket är motiverad inte minst med hänsyn till de skador som kan uppstå vid en eventuell incident, men även sett till tillsynsmyndigheternas långgående möjligheter att ingripa och meddela sanktioner. En fråga som kan förutses bli särskilt delikat att hantera är sekretessfrågor i samband med incidentrapportering till myndighet. Det återstår att se om lagstiftarens bedömning att nuvarande sekretesskydd är fullgott visar sig vara riktig.

Setterwalls tvärkompetens inom energi och råvaror samt IT
Vårt team inom energi respektive IT-rätt arbetar integrerat med frågor om säkerhetskrav inom branschområdet energi och råvaror. Ni är välkomna att vända er till oss om ni har frågor om vad reglerna kan innebära för er verksamhet.