Veckobrevet

Nyhetsbrev om framsteg och utveckling
4b64b487 3213 3aca 2fb2 5706959ce23b

Kommuner – väsentliga entiteter

Samtliga svenska kommuner definieras som väsentliga verksamhetsutövare och omfattas därför av de mest långtgående kraven på cybersäkerhet. Hemsjukvård utgör grunden. 

Det fastslås i det delbetänkande som offentliggjordes den 5 mars 2024 av regeringens särskilda utredare. 

Lagen föreslås träda i kraft den 1 januari 2025.

Hemsjukvård
20 av 21 regioner i Sverige har avtal med sina kommuner om hemsjukvård. Det innebär i delbetänkandet att alla svenska kommuner nu definieras som vårdgivare. Även kommunerna i Region Stockholm, som inte har avtal om hemsjukvård, kommer att omfattas av den nya lagstiftningen – på samma sätt som de kommuner som har avtal om hemsjukvård.

Hälso- och sjukvård är en av ett tiotal samhällsviktiga sektorer som den nya lagstiftningen fokuserar på. Genom det nya förslaget utvidgas tillämpningsområdet för regleringen till att omfatta betydligt fler sektorer och verksamhetsutövare än i den tidigare NIS-regleringen. 

De sektorer som inkluderas är energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentliga verksamhetsutövare, rymdteknik och livsmedel. Kommunal verksamhet omfattar dessutom ett flertal av dessa vanligtvis.

Allmännyttans fastighetsbolag
Även kommunalt ägda fastighetsbolag kommer att påverkas av de högre kraven. Flertalet bolag har egna elektroniska kommunikationsnät och därtill en omsättning över 10 miljoner euro, vilket är ett av de storlekskriterier som påverkar ett utökat ansvar i den kommande lagtexten. Dessutom ägs allmännyttans fastighetsbolag av kommuner, vilket innebär att kommunen som ägare kommer att kunna finansiera kommunens cybersäkerhetsåtgärder via dessa bolag i stället för via skattesedeln. 

Det är nämligen i bostadsfastigheter som en betydande del av kostnaderna kommer att uppstå – i kommunens roll som vårdgivare i bostäder – med fokus på hemsjukvård i kommunens och regionens regi. Kommunledningar kommer sannolikt därför att överlåta lagtextens sårbarhetsanalyser till berörda fastighetsbolag. I enlighet med Plan- och bygglagen (PBL) ska byggnader ha bredband med väsentliga tekniska egenskaper. Med CER-direktivet tillkommer redundans, diversitet och andra riskhanteringsåtgärder.

Hur långt åliggandena mer konkret sträcker sig och var de konkreta gränserna går för de olika verksamhetsutövarnas ansvar, återstår för respektive kommun att ta ställning till. I delbetänkandet SOU 2024:18 finns föreslagna författningstexter som redan nu kan tjäna till stöd för kommunstyrelsen och kommunjuristen i detta arbete.

Virtuella sjukhus och hemsjukvård
Den globala trenden är tydlig. Hälso- och sjukvård kommer i allt större utsträckning att levereras utanför sjukhusen – inte minst till medborgarnas bostäder. Seniorer är överrepresenterade i konsumtion av vårdtid och tillbringar drygt 80% av sin tid inomhus – huvudsakligen i den egna bostaden.

Den nya NIS2-lagstiftningen omfattar det som kallas ”totalsträckskryptering”, vilket ställer nya krav på uppkopplingen av exempelvis nattkameror och trygghetslarm. Det är kommunens ansvar att beakta sårbarheten i digitaliseringens leveranskedjor, även i ett kvarboende. Kommuner blir enligt den nya lagen skyldiga att beakta resultatet av samordnade säkerhetsriskbedömningar av kritiska leveranskedjor.

EU:s medlemsstater får enligt direktivet ålägga väsentliga och viktiga verksamhetsutövare att använda särskilda IKT-produkter, IKT-tjänster och IKT-processer. 

Ingen statlig finansiering 
Delbetänkandet föreslår att kommuner och regioner själva ska finansiera verksamheternas ökade cybersäkerhet. Enligt EU-direktiven ska relevanta europeiska och internationella standarder beaktas i tillämpliga fall. Standarder främjar en enhetlig tillämpning, vilket leder till högre kostnadseffektivitet. Genom användning av exempelvis totalsträckskryptering och internationella standarder, minskar risken för dyrbara effekter av cyberattacker, vilket enligt delbetänkandet gynnar kommuner och regioner. 

Seminarium – Förebygga fallolyckor
Teknikhuset kommer att anordna ett flertal seminarier som adresserar frågor kopplade till kommande lagstiftning – frågor om hur teknik kan mäta upp till lagstiftarens krav på äldreomsorgen. 

Hemsjukvård ska vara förebyggande. Fallolyckor är den vanligaste typen av händelser som kommunernas hemsjukvård hanterar. Information om hur fallolyckor kan förebyggas, även med tekniska lösningar, presenteras under en rad seminarier med start under våren. Seminariet Förebygga fallolyckor, som infaller den 28 maj, fördjupar diskussionen kring en rad viktiga ämnen – från preventivt arbete till artificiell intelligens (AI). Då visas uppkopplad teknik upp av en kommun som använder sådana system.

Du anmäler dig till seminarierna på seminariehemsidan – www.teknikhuset.org.