Att nästan var tredje remissinstans lämnar remissvar utan några synpunkter eller invändningar får nog ses mot bakgrund av den breda sammansättning som NIS2-utredningen hade med både expert- och refereferensgrupper med representanter från många olika samhällsektorer. Ett väl utfört utredningsarbete får man väl säga.
Efter en genomgång av de offentliggjorda remissvaren kan jag också konstatera att ytterligare en tredjedel av inkomna remissvar är väldigt kortfattade och i princip lyfter fram farhågor om resursbrist och kostnadsökningar till följd av ökad tillsyn och rapporteringskrav.
Att SKR och de kommuner som svarat på NIS2-remissen efterlyser ökade resurser är förståeligt. Utifrånkommande krav som inte går att välja bort kommer ju alltid med en prislapp och vem som skall betala notan är ju i slutändan en politisk fråga. Att många kommuner och regioner sliter med stora budgetunderskott får väl ses som ett skäl gott nog för regeringen att fundera på om inte en ökad ambitionsnivå för vår offentliga cybersäkerhet också behöver få kosta.
Alternativet med en cybersäkerhet som brister är ju som bekant många gånger dyrare för både kommuner och dess invånare.
Den tredjedel av remissinstanserna som inkommit med lite mer omfattande svar stämmer in i oron för kostnadsökningar och även med en kritik mot bristande ekonomisk konsevensanalys. Men framförallt är det farhågor kring ansvaret för tillsynen som lyfts fram. Inte minst konstaterar flera kommuner att olika förvaltningar kommer att granskas av olika tillsynsorgan, vilket kommer att göra rapportering och tillsyns-apparaten tungrodd och komplicerad.
Även dessa farhågor är värda att ta på allvar. Det vi behöver i Sverige är en ökad cybersäkerhet inom alla sektorer. Nu gäller det att se till att NIS2 direktivet bidrar till att höja den faktiska cybersäkerheten ute i verksamheterna. Inte bidrar till en alltför compliance driven och resurskrävande kontroll-mekanism.
Genomgående i de olika remissvaren är att många framhåller MSB:s centrala roll i samordningen av cybersäkerhetsarbetet och tillsynen. Det finns ett genomgående behov av att MSB tar ledning i att utforma grundläggande föreskrifter och vägledningar för att säkerställa enhetlighet och effektivitet.
Flera remissinstanser betonar också vikten av att MSB har tillräckliga resurser och kapacitet för att hantera sina utökade uppgifter, samt att en centraliserad samordning under MSB:s ledning är nödvändig för att undvika fragmentering och motstridiga krav.
Det är lätt att instämma även i detta. Samordning, enhetlighet och effektivitet - det låter i mina öron som bra ledord för att få NIS2 direktivet att bidra till ökad cybersäkerhet.
Ps Vi på Junglemap har precis tagit fram en ny kurs i Digital säkerhet för styrelse och ledning - ett av kraven som kommer med NIS2-direktivet - läs mer om den kursen här!
