Föredras

Implementeringen av NIS2 SF 17/2022-2023

  • Samma regler gäller även för denna fråga. För svaret på frågan tillämpas ingen tidsbegränsning medan övriga yttranden inte får överstiga tre minuter. Svaret kommer att ges av minister Fredrik Karlström. Ordet ges först till lagtingsledamoten Ingrid Zetterman.


  • Talman! Med hänvisning till 38 § 1 mom. lagtingsordningen ställer jag till följande fråga till minister Karlström. Hur arbetar landskapsregeringen med att införliva NIS2-direktivet och vilket informationsansvar ser landskapsregeringen att man har i förhållande till andra parter, allra särskilt till de som inte omfattades av NIS-direktivet?


  • Tack, talman! Tack ledamot Zetterman för frågan. Det är en bra, aktuell och viktig fråga som ledamot Zetterman ställer.

    NIS2-direktivet kom in till landskapsregeringen i januari i år och ska vara implementerat senast den 17 oktober 2024, alltså i slutet av nästa år. Projektet är således ännu endast i inledningsfasen och landskapsregeringen har tid att jobba med alla de detaljer som det här direktivet innehåller. Det är många detaljer.

    NIS2-direktivet, för de som inte är så insatta som ledamot Zetterman är, så det även känt som direktivet om säkerhet för nätverk och informationssystem och är en lagstiftning som fastställer minimikrav för cybersäkerhet i EU.

    I NIS2-direktivet ställs nya krav på bl.a. riskhantering och en kraftigt utökad rapportering jämfört med det tidigare NIS-direktivet som nu ersätts.

    Implementeringen av direktivet är ett ansvar för EU-medlemsstaterna och varierar beroende på nationell lagstiftning och redan här uppkommer en hel del frågor. Är direktivet vår behörighet eller bara delar av det? Det här är frågor som behöver kartläggas, belysas och utredas vidare.

    I landskapsregeringens digitaliseringsbetänkande som även överlämnades till lagtinget genom digitaliseringsmeddelandet förra året konstaterade att det fanns utrymme för bättre samordning inom landskapsregeringen när det gällde koordineringen av olika lagstiftningsprojekt rörande digitalisering och säkerhet. Därför har landskapsregeringen tillsatt en ”digilag-grupp” bestående av medlemmar från digitaliseringsenheten, rättsliga enheten och lagberedningen. Eftersom området säkerhet ständigt förändras och nya utmaningar tillkommer är tanken att gruppen görs permanent.

    Digilag-gruppen har inlett arbetet med direktivet för att reda ut lagstiftningsbehörigheten. Gruppen har även varit i kontakt med den av kommunikationsministeriet tillsatta arbetsgruppen för implementeringen av motsvarande direktiv i riket. Ytterligare har diskussioner förts med Åda och Åda kommer också att arbeta med den här frågan.

    Som lagtinget också sett så ligger det idag även en tilläggsbudgeten på lagtingets bord där landskapsregeringen äskar om medel på ungefär 1 miljon euro för ett projekt kring just säker informationshantering, att skötas via Åda.

    Avslutningsvis, implementering av NIS2-direktivet kräver en omfattande och samordnad ansträngning från medlemsstaterna, landskapsregeringen och berörda företag. En effektiv implementering kan bidra till att minska risken för cyberhot och stärka EU:s cybersäkerhet.

    Mycket jobb kommer det att bli, mycket jobb återstår att göra och många frågor finns fortfarande att besvara. Tack, talman!


  • Ledamot Ingrid Zetterman Tilläggsfråga | 13:32

    Talman! Just behörighetsfrågan är ju oerhört intressant i det här sammanhanget. Vad är faktiskt den åländska behörigheten?

    Här kan jag ställa en första deltilläggsfråga. Har man övervägt från landskapsregeringens sida att begära handräckning av inrikesministeriets arbetsgrupp för att också här kunna implementera och eventuellt i ett tidigt skede diskutera vilka överenskommelseförordningar som krävs?

    I ljuset av den arbetsgruppen som man har tillsatt så har man också i Sverige tillsatt ett helt nationellt center för cybersäkerheten. Att Åland för egen maskin skulle klara av det här är ju inte fullt realistiskt, alldeles särskilt i ljuset av att landskapsregeringen har två uppgifter; dels att implementera direktivet som lagstiftare och det ansvar man har för den åländska helheten, men också att man själv måste se till att man har sina egna strukturer på plats.

    I de här nya strukturerna så infinner sig helt nya arbetssätt för landskapsregeringen och alla andra offentliga myndigheter som omfattas. Vad jag kan förstå så kan inte heller landskapsregeringen svara på hur den nationella implementeringen ser ut, vilka myndigheter som omfattas och exakt vilka verksamheter. Men vi vet att till exempel energisektorn, avlopp och vatten, så där finns det nya grupper som helt garanterat kommer att finnas med.

    Direktivet kräver att man arbetar riskbaserat. Man ska ha incidenshanteringsplaner och man ska ha kontinuitetsplaner. Det som ju blir en praktisk förutsättning för implementeringen är ju att varje organ har någon form av ledningssystem, det som brukar kallas för LIS och ett ledningsorgan som innehar det här personliga ansvaret. Det kan man tycka vad man vill om men det här direktivet sätter faktiskt ett personligt tjänstemannaansvar på direktivsnivå.

    Därtill kommer min andra fråga. Åda har möjligheter att stärka informationssäkerheten när det gäller den tekniska biten för Åland och för dem som väljer att köpa sina tjänster från det bolaget. Men den andra sidan är ju den administrativa säkerheten alltså det som är helt teknikoberoende och som handlar om hur du och jag och alla andra inom förvaltningen agerar, vilka länkar vi klickar på och hur vi delar med oss information. Hur ser landskapsregeringen på den biten? För det går ju inte att lägga över på ett enskilt bolag, utan där måste ju varje myndighet som omfattas av direktivet och också varje privat bolag som omfattas av direktivet ha de administrativa funktionerna på plats.


  • Tack, talman! Som jag inledde mitt svar så kom det här direktivet till landskapsregeringen i januari och vi har på oss till oktober nästa år att svara på alla dessa väldigt komplexa frågor.

    Inledningsvis, som jag också nämnde, så är dialogen igång med kommunikationsministeriet som arbetar med samma frågor. Det här är en komplex behörighetsfråga. Vilka delar faller på landskapsregeringen? Vilka delar faller på riket som helhet? Ska vi ha en tillsynsmyndighet här eller ska man göra någonting i samförstånd med riket? Eller är det så att vi måste hitta någon lösning där självstyrelsen också respekteras så att säga? På den frågan så jobbar vi givetvis vidare.

    När det kommer till Åda, som jag nämnde, så idag ligger det på lagtingets bord en tilläggsbudget på 1 miljon euro som just går ut på att höja den generella säkerhetsnivån både för Åda men också för landskapsregeringen, för kommuner och för offentlig sektor på Åland. Det är ett jobb som är väldigt komplicerat, det kommer att vara tidskrävande och sålunda är det ett projekt under en tvåårsperiod. Det börjar det här året och pågår in i början på år 2025. Med det så tror jag att vi inom den offentliga sektorn på Åland kommer att kunna höja vårt säkerhetstänk. Precis som ledamot Zetterman sade så handlar det liksom inte bara om brandväggar eller fysisk säkerhet. Det handlar också om att människor måste börja förstå att data, cybersäkerhet och IT-säkerhet inte bara handlar om teknik. Det handlar väldigt mycket om mindset och att lära sig vad man trycker på, vad man går in på och vad man delar med sig och hur man ser till att man säkrar sina mobila enheter och datorer även i hemmet om man har tillgång till känslig dokumentation.

    Det här direktivet är arbetsdrygt. Det kommer att kräva mycket av väldigt många. Samtidigt så kan det vara ett ganska bra sätt att sätta blåslampan på att verkligen göra de saker som vi måste göra, för det är själva grunden i digitaliseringen att vi har säkerheten och IT-säkerheten på en acceptabel nivå.

    Sedan är jag helt övertygad om att det här arbetet aldrig kommer att ta slut. Det kommer att komma nya hot och det kommer att komma nya utmaningar. Sålunda är det också bra att den här arbetsgruppen som jobbar inom landskapsregeringen är permanent och kontinuerligt får följa med allt vad som händer och sker inom det här området. Det är också någonting för nästa regering att jobba vidare med.


  • Ledamot Ingrid Zetterman Tilläggsfråga | 13:37

    Talman! Jag vet att det här direktivet är relativt dyrt. Samtidigt har ju den här frågan varit aktuell på EU-nivå under en längre tid. Min uppfattning är väl kanske att det första NIS-direktivet inte är fullt tillämpbart inom landskapets alla delar, alltså då menar jag inte bara landskapsförvaltningen utan jag menar alla de som uppfattade det som första NIS-direktivet. Det är minsann utmanande. Det är ett och ett halvt år nu tills det här ska vara införlivat och jag skulle säga att det är en mycket, mycket, mycket snäv tidsram och inte ett förhållningssätt att säga att man har gott om tid. Ska man implementera de här delarna så tar det en hel del tid.

    Tittar man på de incidenter som sker runt om oss, till exempel i Sverige, så har det ju inte varit de stora kommunerna som har varit drabbade. Vi kommer väl alla ihåg t.ex. det stora avbrottet i Kalix där man helt enkelt fick utpressning. Man söker de orter och de platser där det är lättast att tränga igenom systemen, vilket gör att det här argumentet kring att Åland är så litet, vem skulle bry sig om oss, inte är överensstämmande med verkligheten.

    Det finns allvarliga cyberhot både av icke statliga men också statliga organisationer som också förstås riskerar att drabba Åland. Vi ser att vi har en väldigt, väldigt lång väg kvar att gå, både när det gäller den tekniska biten, men kanske ännu mer dessvärre när det gäller strukturer, arbetsprocesser och arbetssätt.

    Där kommer den andra delen i min skriftliga fråga som vi kanske inte ännu har riktigt berört. Vilket informationsansvar anser sig landskapsregeringen ha gentemot det övriga offentliga Åland, men också de privata aktörer som nu omfattas av NIS-direktivet? Ser man att man har en förebyggande uppgift i det? Vad jag kan förstå på ministern så är det oklart vem som är tillsynsmyndighet. En tillsynsmyndighet har ju också ett proaktivt ansvar där man kan idka tillsyn genom information på förhand. Om den tillsynsmyndigheten nu fattas på Åland så har vi alltså ingen som gör det arbetet. Hur ser ministern på de frågorna?


  • Tack, talman! Först detta med att Åland skulle vara så litet så ingen skulle bry sig om vi har säkerhet eller inte, jag vet inte var detta kommer ifrån. Det har aldrig uttryckts från min mun och inte från landskapsregeringen heller. Det är snarare tvärtom. Det kan hända att Åland kan vara den svagaste länken i kedjan och sålunda så behöver Åland verkligen steppa upp sin säkerhetsnivå för att kunna bli implementerad i många olika nationella system och så vidare. Det här är någonting som behöver jobbas med. Vi ska vara ärliga och säga att vi har varit dåliga på det. Kunskapen har varit för låg inom många olika områden och därför så är det ju bättre sent än aldrig att vi i alla fall förra året började med att tillsätta den här arbetsgruppen som jobbar just med de här frågorna tillsammans med kommunikationsministeriet på den finska sidan.

    Sedan när det kommer till den här myndighetsfrågan så går det ju inte utse någon myndighet ännu eftersom behörigheten inte är definierad när det gäller hur och på vilket sätt och vilka delar av det här direktivet som är åländsk behörighet. Men det finns ju tid för det. Jag säger inte att vi har gott om tid. Förmodligen så kommer det här att vara en ganska lång resa innan vi är i mål. Börjar vi nu så har vi i alla fall visat god ambition och vi har en väg utstakad. Det finns inget alternativ att inte välja att gå den här säkra vägen framåt som vi behöver göra.

    Sen ser jag ju också att Åda blir en nyckelspelare i rollen att både informera kommuner och andra myndigheter eftersom andra kommuner och myndigheter är delägare i det gemensamt ägda Åda. Jag gissar att vi kommer att kunna diskutera det här mera på måndag när vi går in i tilläggsbudgeten.

    Så ja, landskapsregeringen har en roll, Åda har en roll. Sen är det ju också givetvis upp till företagen där ute som är så pass stora - för det är relativt stora företag det handlar om som blir direkt drabbade av NIS2-direktivet - att givetvis hålla sig uppdaterade med den lagstiftning som gäller och råder.

    Men, som sagt, det här är bara början på en lång resa. Det är en resa som förmodligen aldrig kommer att ta slut. Det kommer kontinuerligt att behöva jobbas med dessa IT-, säkerhets- och cyberfrågor. Men jag är glad att ledamot Zetterman tog upp den här frågan, för det är ett sätt för oss alla att belysa vikten av den och jobba vidare med den också.


  • Landskapsregeringens svar antecknas för kännedom. Ärendet är slutbehandlat.