Digital suveränitet - vilka lagar gäller och hur tar man nästa steg?
Hur garanterar vi att vår information inte bara är säker utan också tillgänglig? Det finns många överväganden att göra och regelverk att förhålla sig till. Dessutom är det inte självklart att våra sedvanliga lösningar alltid är de bästa.
Digital suveränitet står på agendan när Ateakollegorna Nina Karlsson och Olof Eilertsson, nationell affärsområdeschef för Hybrid Platsforms respektive it-säkerhetsjurist, tar till orda under sitt breakoutpass på Bootcamp.
IDG:s ordlista definierar begreppet som ”möjlighet att råda över digital information och digital kommunikation som man berörs av”. Så oavsett val av it-plattform handlar det om att ha kontroll över sitt data och vara motståndskraftig mot cyberattacker. Men hur detta tolkas kan skilja sig åt beroende på vilket perspektiv man har, framhåller Nina Karlsson.
I Sverige anser vi i regel att kontroll uppnås genom att informationen hanteras och lagras inom landets gränser. Ukraina valde däremot dagarna före Rysslands invasion att skicka iväg tio petabyte myndighetsdata till amerikanska molntjänster, för att det ansågs vara det bästa sättet att garantera tillgång och kontinuitet i de offentliga verksamheterna.
– Vi behöver ta rätt beslut utifrån de omvärldsförhållanden och regelverk som vi har att förhålla oss till och vi är ytterst ansvariga för att ha rådighet över våra egna data. Bara för att vi lagrar och hanterar data inom Sveriges gränser blir vi inte digitalt suveräna. Vi behöver också säkerställa tillgängligheten, säger Nina Karlsson.
Olof Eilertsson, it-säkerhetsjurist
Möjliggörare och kravställare
Natointrädet innebär att offentlig sektor omfattas av Natostadgan artikel 3, som har många paralleller till NIS2. Den handlar om civilsamhällets förmåga att vara resilient men också om dess kapacitet att leverera stöd till myndigheter i andra Natoländer och militära förband som verkar på svenskt territorium. Även detta regelverk påverkar de överväganden som måste göras kring lagring och hantering av data för att garantera en fortsatt digital suveränitet.
Olof Eilertsson listar fem regelverk som han anser är relevanta i sammanhanget: adekvansbeslutet EU–USA, offentlighets- och sekretesslagstiftningen (OSL), EU:s NIS2-direktiv, artikel 3 i Natostadgan samt säkerhetsskyddslagen.
De tre sistnämnda ställer krav, de två förstnämnda skapar möjligheter.
Adekvansbeslutet har öppnat dörren för amerikanska molntjänster, medan det i OSL numera finns ett konkret lagstöd för en myndighet att lägga ut sin it-drift hos en extern partner.
– Från myndighetshåll har man öppnat upp en spelplan för att använda externa leverantörer, såsom molntjänster, när man tittar på hur en driftsplattform ska se ut, säger Olof Eilertsson.
”Vi har en tradition i Sverige att vi ska ha vår information inom Sveriges gränser. Vi är ovilliga att lämna ut våra data. Åtminstone på pappret kan det finnas en känslomässig trygghet i att ha sina data i svenska datacenter, som faller under svensk lagstiftning. Säg det till en rysk kryssningsrobot. Den tar inte jättestor hänsyn till om det är ett svenskt datacenter och svensk lagstiftning. Det är lika sårbart för den del som avser tillgängligheten som vilket datacenter som helst. Så det får också bli ett avgörande för vilken lösning man väljer.”
Klassificering är avgörande
Ökad digitalisering är ett tydligt mål inom EU, men det måste också ske säkert. NIS2 inskärper att det är de som tillhandahåller tjänster till samhällsviktiga funktioner som är skyldiga att se till att dessa också är säkra samt att ansvaret ligger på ledningen.
Om ditt företag redan har sitt grundläggande informationssäkerhetsarbete på plats behöver det inte bli särskilt besvärligt att förbereda sig inför NIS2, hävdar Olof Eilertsson.
– En av grundförutsättningarna för att lyckas med implementeringen är att veta vilken information man har och vilket skyddsvärde den har. Att ha klassificerat sin information, så man vet var man ska lägga krutet, kommer att vara jätteviktigt.
Många överväganden behövs kring var och hur ens data ska lagras och hanteras, om man ska ha egna lösningar eller använda externa molntjänster. För de flesta handlar det inte om antingen eller, utan snarare om både och. Informationens art får styra, framhåller Olof Eilertsson.
– Vi bygger samhällsresiliens genom att leverera trygga och säkra lösningar.
- Se till att informationen är klassad – enklare att göra rätt!
- Välj rätt tjänst för rätt information - skyddsvärdet avgör!
- Var beredd att ompröva fattade beslut – utvecklingen är snabb!