Slutrapport från arbetsgrupp: Ett fungerande digitalt samhälle förutsätter satsningar på informationssäkerhet

Nivån på informationssäkerheten och dataskyddet inom kritiska sektorer i samhället bör höjas med tilläggsresurser och effektivare samarbete, konstateras det i slutrapporten från en arbetsgrupp. Arbetsgruppen anser att nivån på informationssäkerheten ska styras av noggrannare och bättre riktade lagstadgade krav och skyldigheter som ska övervakas aktivt. Arbetsgruppen offentliggjorde sin rapport den 1 februari 2021.

Det digitala samhället består av många aktörer som är beroende av varandra och vars verksamhet förutsätter tillförlitliga och säkra förbindelser och informationssystem. Detta är särskilt viktigt när det gäller verksamheten inom samhällets kritiska tjänster. Inom dessa sektorer kan enskilda intrång i och störningar av informationssäkerheten och dataskyddet direkt påverka medborgarnas liv och samhällsekonomins funktion.

Även om allmänna och sektorsspecifika skyldigheter i fråga om informationssäkerhet och dataskydd har ålagts för kritiska tjänster, framgick det utifrån arbetsgruppens arbete att det finns stora skillnader mellan sektorerna när det gäller deras förmåga att svara på de ökande utmaningarna i fråga om informationssäkerhet och dataskydd.

Arbetsgruppen lade fram förslag till politiska riktlinjer för att förbättra informationssäkerheten och dataskyddet inom de kritiska sektorerna samt fastställde ansvariga aktörer och tidtabeller för genomförandet av åtgärderna.

Förslagen till riktlinjer bygger på sju krav som bör uppfyllas för att verksamhetens informationssäkerhet och dataskydd ska vara tillräckliga:

1. I lagstiftningen ska det finnas tillräckliga krav och skyldigheter i fråga om kritiska sektorers informationssäkerhet och dataskydd samt exakta bestämmelser om hur dessa ska uppfyllas.

2. Aktörerna ska ha tillräcklig kunskap och kompetens när det gäller att fullgöra sina skyldigheter.

3. Myndigheterna ska ha tillräckliga befogenheter att övervaka genomförandet av informationssäkerheten och dataskyddetoch samarbeta sektorsövergripande.

4. Myndigheterna ska ha tillräcklig kompetens och tillräckligt mod att utöva sina befogenheter och styra sitt verksamhetsområde.

5. Myndigheterna ska ha tillräckliga resurser för att utöva sina befogenheter.

6. Varje aktör bär ansvaret för informationssäkerheten och dataskyddet i sin verksamhet.

7. Myndigheterna ska ha en uppdaterad lägesbild av nivån på och situationen när det gäller informationssäkerheten och dataskyddet i hela sin omgivning.

I rapporten finns också en bedömning av de tilläggsresurser som behövs och som ska användas främst till att utveckla de övervakande myndigheternas funktionsförmåga.

Satsningar på cybersäkerhet

Den utredning arbetsgruppen nu färdigställt är en del av en större helhet som gäller cybersäkerhet.

- För att vi ska kunna garantera cybersäkerheten måste samhället vara på sin vakt, berett och redo att samarbeta. Regeringen förutsätts kunna leda, lagstiftningen måste revideras och myndighetsverksamheten effektiviseras. Också resurser måste tillföras, men det är en investering i säkerhet som flerfalt betalar sig själv, betonar kommunikationsminister Timo Harakka.

I Finland har många centrala samhällssektorer lagstadgade skyldigheter att sörja för informationssäkerheten och cybersäkerheten i sina tjänster. Skyldigheterna kompletteras av frivilligt samarbete och informationsutbyte mellan myndigheter och tjänsteleverantörer. Dessutom övervakar och utvecklar Cybersäkerhetscentret vid Transport och kommunikationsverket tillförlitligheten och säkerheten i kommunikationsnät och kommunikationstjänster och hjälper till att utreda kränkningar av informationssäkerheten.

Planerings- och utvecklingsarbetet för cybersäkerheten förbättras också av det regeringsprogramöverskridande utvecklingsprogram som för närvarande är ute på remiss. Programmet syftar till att styra utvecklingen av den sektor- och regeringsprogramöverskridande cybersäkerheten.

Åren 2020-2023 utvecklas tjänsterna för digital säkerhet också inom den offentliga förvaltningen i enlighet med finansministeriets genomförandeplan (Haukka). Genomförandeplanen stöder också beredningen och genomförandet av utvecklingsprogrammet för Finlands cybersäkerhetsstrategi.

Cybersäkerhetens betydelse lyfts fram också i den slutrapport som arbetsgruppen för det digitala språnget har lämnat. Den arbetsgrupp som dryftat digitala metoder för återuppbyggnad efter coronakrisen föreslog att man i Finland med hjälp av forskning och stöd till den inhemska cyberindustrin ska främja utvecklingen av ekosystemet och infrastrukturen för data- och cybersäkerheten. Detta tryggar också Finlands internationella konkurrenskraft.

Bakgrund till arbetsgruppen för utredning av informationssäkerheten och dataskyddet inom kritiska sektorer

Kommunikationsministeriet tillsatte i november en arbetsgrupp med uppgift att kartlägga ändringsbehoven i lagstiftningen om datasäkerhet och dataskydd inom centrala funktioner för samhällets verksamhet och att lägga fram ett förslag till politiska riktlinjer i fråga om dessa för regeringen.

Arbetsgruppens utredning gällde centrala samhällssektorer, till exempel hälso- och sjukvården, energiförsörjningen, finansbranschen, vattenförsörjningen och trafik- och transportsektorn och den digitala infrastrukturen och dess tjänster.

Målet är att informationssäkerheten ska vara en del av samhällets beredskap och de tjänster som samhället tillhandahåller och att uppgifter om medborgarna ska vara bättre skyddade mot obehörig behandling än för närvarande.

Kommunikationsministeriets överdirektör Laura Vilkkonen var ordförande för arbetsgruppen. Gruppen bestod av företrädare för olika ministerier och myndigheter.

Arbetsgruppens slutrapport Förbättring av informationssäkerheten och dataskyddet inom kritiska sektorer i samhället kan läsas på statsrådets webbplats.

Ytterligare information:

Laura Vilkkonen, överdirektör, avdelningschef, tfn 040 500 0817, Twitter: @vilkkonen