Simovits

Höstnytt!

Under höst/vinter 2015 kommer regeringen och EU-kommissionen ta beslutom initiativ som har bäring på it och informationssäkerhet. Realiseringen av dessa initiativ kommer omfatta många aktörer och det kan komma att ge en påverkan på den verksamheten du arbetar i. Tidsplanen för vissa av aktiviteterna är forcerad och beslut kan komma att träda i kraft redan 1 januari 2016. För att vara redo gäller det att ha koll på vad som händer och vilka konsekvenser det innebär för dig. Vi har nedan sammanställt en lista på de mest intressanta om omfattande initiativen:

Informations- och cybersäkerhet i Sverige (länk)
Status: Regeringen kommer efter avslutat remissrunda ta beslut om genomförandet. Planerad start av aktiviteter 1 jan 2016.
Berörda aktörer: Statliga myndigheter
Syfte

att föreslå strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system.

Aktiviteter

  • stärka styrning och tillsyn inom området
  • staten ska ställa tydliga krav vid upphandling på it-området, att statliga myndigheter ska kommunicera säkert
  • samtliga statliga myndigheter rapporterar it-incidenter
  • arbetet med att förebygga och bekämpa it-relaterad brottslighet stärks
  • Sverige ska vara en stark internationell partner
 

NIS-direktivet (länk)

Status: EU-kommissionen har 6 okt 2015 fattat ett inriktningsbeslut, återstående förhandlingar kvarstår under 2015. Beslut effektualiseras efter 2 år.
Berörda aktörer: Myndigheter, kommuner, landsting och enskilda (med koppling till samhällsfuktioner).
Syfte: att uppnå och vidmakthålla en hög gemensam nät- och informationssäkerhet inom hela EU för att förbättra den inre marknadens funktion.
  • En särskild myndighetsstruktur
  • Deltagande i samverkansforum på EU-nivå
  • Inrätta system för it-incidentrapportering
  • System för tillsyn och sanktioner
 

EU Data Protection Regulation, Directive (länk)

Status: EU-kommissionen kommer efter avslutade förhandlingar ta beslut om genomförandet. Beslut väntas i slutet av 2015. Beslut effektualiseras efter 2 år.
Berörda aktörer: All verksamhet inom EU eller dess partners utanför EU, som behandlar personuppgifter
Syfte: att modernisera reglerna i dataskyddsdirektivet från 1995 och få till stånd en mer enhetlig tillämpning inom EU.
  • Tydligare rättigheter för enskilda
  • Tydligare regler om ansvar hos de som behandlar personuppgifter
  • Regler om förstärkt samarbete mellan de olika EU-medlemsstaternas dataskyddsmyndigheter

Tillsyn avseende informationssäkerhet

Utökad tillsyn kommer att mycket sannolikt att införas. I nuläget är det dock oklart vilka aktörer som omfattas av detta krav. Från Sveriges sida förespråkas statliga myndigheter, medan EU menar att även offentlig verksamhet och vissa privata aktörer ska inluderas. EU vill även att aktörer som inte kan påvisa en acceptabel säkerhetsförmåga ska åläggas ett vite.

Tidpunkt för tillsyn av informationssäkerhet kommer troligen att landa under 2017. Tiden fram tills dess bör fokuseras på förberedelse för detta:

Obligatorisk incidentrapportering

Obligatorisk incidentrapportering har diskuterats i flera år och verkar nu vara på gång att reliseras. Inikesminister Ander Ygeman har vid flera tillfällen kommunicerat den 1 jan 2016, som skarpt datum för start av detta. Hur detta ska ske är dock inte fastställt, vilket gör tidshänvisningen något vag. Sverige har också sagt att man kommer anpassa rapporteringen till NIS-direktivet, vilket gör omfattning och hantering oklar.

Tidpunkt för obligatorisk incidentrapportering kommer starta 1 jan 2016, men troligen införas i flera steg. Den knappa tiden fram tills dess bör följande aktiviteter vidtas:

Översyn av integritet

Den personliga intigriteten ska få ett stärkt skydd med en ny version om dataskyddsförordningen. Det kommer i praktiken att innebära att personuppgiftslagen ersätts med dataskyddsförordningen, vilken då kommer gälla som lag i Sverige. Då beslut om detta ska tas både inom EU och av Sveriges regering är det troligt att tidpunkt för effektualisering ligger tidigast 2017. Fram tills dess bör verksamheten förbereda sig med flera åtgärder:

Lycka till!