Nytt om cybersäkerhet berör it-avtal

I denna expertkommentar tänker jag ta upp två nyheter som kommer att få stor påverkan på it-avtal, nämligen:

• NIS2-direktivet som antogs den 28 november
• Executive Order utfärdad av President Biden angående överföring av personuppgifter till USA

NIS2-direktivet
Bakgrund
I syfte att uppnå en hög nivå på säkerheten i nätverk och informationssystem för
samhällsviktiga tjänster inom vissa sektorer samt för digitala tjänster gäller sedan ett antal år tillbaka lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster tillsammans med föreskrifter som utarbetats av MSB.

Lagstiftningen har införlivats med stöd av det så kallade NIS-direktivet. Direktivet ställer krav på leverantörerna att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende de nätverks- och informationssystem som de använder för att tillhandahålla de samhällsviktiga respektive digitala tjänsterna.

Direktivet innehåller också krav på att rapportera incidenter med betydande eller avsevärd påverkan på kontinuiteten i tjänsterna.

De aktörer som omfattas av NIS-direktivet är leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

• Leverantörer av samhällsviktiga tjänster är leverantörer som är verksamma inom vissa särskilda sektorer. Direktivet pekar ut sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.
• Leverantörer av digitala tjänster är leverantörer som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.

Ett antal brister och problem med NIS-direktivet har identifierats bland annat att:

• företag som bedriver samhällsviktig verksamhet inte har tillräcklig cyberresiliens;
• att cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder behöver harmoniseras inom EU; samt
• att de inte finns tillräcklig medvetenhet i förhållande till cybersäkerhet.

Arbetet med att åtgärda de brister som identifierats har lett fram till en reviderad version av NIS-direktivet (NIS2-direktivet), som alltså antogs av Rådet den 28 november.

NIS2
NIS2-direktivet innehåller flera nyheter, bland andra.:

• en ny klassificering – väsentliga entiteter och viktiga entiteter. Som väsentlig entitet tillkommer bland annat offentlig förvaltningsentitet;
• tillämpning på flera sektorer än NIS-direktivet;
• nya krav på säkerhetsåtgärder;
• utökade krav på incidentrapportering;
• införande av sanktioner;
• krav på säkerhet i leveranskedjan.

Alla dessa ändringar är viktiga och kan bli aktuella att ta upp i expertkommentarer framöver. I denna expertkommentar riktar jag in mig på det nya kravet på säkerhet i leveranskedjan, vilket kommer att få betydelse i samband med myndigheters upphandling av it.

Krav på säkerhet i leveranskedjan
Enligt NIS2-direktivet ska entiteter hantera säkerhetsaspekter i relationen mellan entiteten och dess direkta leverantörer och tjänsteleverantörer. Detta gäller såväl i förhållande till eventuella sårbarheter hos varje direkt leverantör och tjänsteleverantör som den generella kvalitén av produkter och hur leverantören och tjänsteleverantören tillämpar cybersäkerhetskrav.

En entitet som omfattas av direktivet – bland annat ”offentliga förvaltningsentiteter” – har således inte bara ansvar för säkerheten i sin egen verksamhet, utan även de leverantörer de väljer att använda sig av. Detta beror på det höga antalet systemintrång där intrånget skett via en leverantör eller en underleverantör till verksamhetsutövaren.

Det nya kravet får betydelse för bedömningen av leverantörer i samband med it-upphandlingar inom offentlig sektor. Kravet tillämpas vid sidan av de krav på säkerhet som uppställs i GDPR om leverantören eller tjänsteleverantören behandlar personuppgifter för myndighetens räkning. 

Hur kravet kommer att utformas i svensk lagstiftning återstår att se.

När ska direktivet vara implementerat?
NIS2-direktivet ska publiceras i EU:s officiella tidning och träder i kraft 20 dagar efter publicering. Inom 21 månader efter direktivets ikraftträdande förväntas direktivet implementeras av EU-medlemsstaterna. Vi kan alltså förvänta oss att det träder ikraft under hösten 2024.

Överföring av personuppgifter till USA
Frågan om överföring av personuppgifter till USA har blivit något av en följetong. Jag har tidigare i år skrivit om principöverenskommelsen mellan EU och USA om nytt ramverk ”European Union-U.S. Data Privacy Framework” som är tänkt att ersätta Privacy Shield-ramverket som ogiltigförklarades av EU-domstolen 2020 i den så kallade Schrems II-domen.

Den 7 oktober i år togs ett stort steg framåt genom att President Biden undertecknade ett presidentdekret – en så kallad Executive Order – om att införa det nya ramverket.

Vita huset betonar i ett pressmeddelande att det nya ramverket ska ta sikte på den problematik som föranledde EU-domstolens ogiltigförklaring av Privacy Shield-ramverket. Ett antal åtgärder har vidtagits, bland annat:

• krav på att signalspaningsåtgärder är begränsade till fastställda mål, nödvändiga och proportionella
• införandet av regler för hantering av uppgifter som insamlats och utvidgat ansvar för personer som arbetar inom signalspaningsverksamhet
• uppdatering av underrättelsemyndigheternas policyer för att återspegla de skärpta kraven på skydd för människors privatliv och civila rättigheter.
• Införandet av rätt till en oberoende prövning i en tvåstegsprocess
• översyn genom Privacy and Civil Liberties Oversight Board.

Parallellt arbetar EU-kommissionen med att ta fram ett utkast till beslut om adekvat skyddsnivå som ska ersätta beslutet om Privacy Shield. När beskedet om Bidens Executive Order kom var reaktionen från EU-kommissionen positiv. Så här skrev man i ett pressmeddelande:

“The objective of the Commission in these negotiations has been to address the concerns raised by the Court of Justice of the EU in the Schrems II judgment and provide a durable and reliable legal basis for transatlantic data flows. This is reflected in the safeguards included in the Executive Order, regarding both the substantive limitation on US national security authorities’ access to data (necessity and proportionality) and the establishment of the new redress mechanism.”

EU-kommissionen lyfter i en FAQ att den tror att det nya ramverket skulle klara EU-domstolens granskning, eftersom de problem som Privacy Shield-ramverket stötte på i Schrems II-domen adresseras i de nya skyddsåtgärderna som följer av presidentdekretet.

När ett utkast till beslut om adekvat skyddsnivå finns framme ska förslaget behandlas i EU:s institutioner. Ett beslut om adekvat skyddsnivå beräknas kunna antas under våren 2023. Därefter kan personuppgifter fritt överföras till amerikanska företag som har anslutit sig till det nya ramverket.

Vad gäller nu?
Intill dess att det finns ett beslut om adekvat skyddsnivå för ramverket ”European Union-U.S. Data Privacy Framework” ska överföringar av personuppgifter till USA hanteras på samma sätt som tidigare, det vill säga det måste finnas en mekanism för överföring, till exempel standardavtalsklausulerna, och en så kallad Transfer Impact Assessment (TIA) ska göras.

En intressant omständighet är att Executive Order äger tillämpning från och med den 7 oktober 2022. Det innebär att om det är aktuellt att överföra personuppgifter till USA innan beslutet om adekvat skyddsnivå har fattats, kan de anpassningar till Schrems II-domen som har gjort i Bidens Executive Order användas vid bedömningen av (i en TIA) om en överföring är möjligt med stöd av standardavtalsklausulerna.

Det kan antas att även det nya ramverket kommer att hamna på EU-domstolens bord så småningom. Fortsättning följer…  

Peter Nordbeck
Advokat, Advokatfirman Delphi

Få din fråga om upphandling besvarad

Har du en fråga om upphandling? Skriv den här så kan den bli besvarad av våra experter. *

E-postadress, du får ett mejl om din fråga har blivit besvarad.

Om du är mänsklig, lämna det här fältet tomt.