Hur ska incidenter rapporteras inom sjukvården?

NIS2 inför ett tredelat rapporteringsförlopp som är betydligt strängare än nuvarande svensk praxis. Enligt SOU 2024:18 ska MSB vara nationell kontaktpunkt och CERT-SE hanterar den operativa incidentresponsen.

Tidslinjen i tre steg

Inom 24 timmar: En tidig varning till CERT-SE. Denna ska innehålla grundläggande information om incidentens art och potentiell påverkan. Ingen fullständig analys krävs vid detta steg.

Inom 72 timmar: En incidentanmälan med uppdaterad bedömning av allvarlighetsgrad, påverkan och indikatorer på kompromiss (IoC). Har incidenten gränsöverskridande effekter ska detta anges.

Inom en månad: En slutrapport med rotorsaksanalys, vidtagna åtgärder och lärdomar. Om incidenten fortfarande pågår lämnas istället en lägesrapport, följd av en slutrapport efter avhjälpning.

För sjukvården tillkommer dessutom rapportering till IVO vid händelser som påverkar patientsäkerheten. Enligt Patientsäkerhetslagen (2010:659) ska allvarliga vårdskador rapporteras via lex Maria. Ett cyberangrepp som leder till försenad vård eller felaktig medicinering faller sannolikt under den skyldigheten.

[PERSONAL EXPERIENCE]

Vad räknas som en rapporteringspliktig incident?

Inte alla IT-störningar kräver rapportering. NIS2 avser "betydande incidenter" som:

• Orsakar eller kan orsaka allvarlig driftstörning i vårdverksamheten
• Påverkar andra organisationer (exempelvis via delad IT-infrastruktur mellan regioner)
• Orsakar eller kan orsaka ekonomisk skada av väsentlig omfattning

I vårdkontext betyder det att en ransomware-attack som krypterar journalsystem alltid ska rapporteras. En mindre phishing-incident som stoppas av e-postfiltret behöver däremot inte rapporteras, även om den bör loggas internt.

Incidentrapportering under NIS2

Vilka utmaningar möter svensk sjukvård specifikt?

Enligt en undersökning av Sveriges Kommuner och Regioner (SKR) saknar 6 av 10 regioner en heltäckande cybersäkerhetsstrategi som uppfyller NIS2-nivå. De specifika utmaningarna för vården skiljer sig från andra sektorer på flera sätt.

Medicinteknisk utrustning med föråldrad programvara

Sjukhus har tusentals nätverksanslutna enheter: MR-kameror, respiratorer, infusionspumpar och patientövervakningssystem. Många kör äldre operativsystem som inte längre får säkerhetsuppdateringar. Enligt Cynerio kör 53 procent av medicintekniska enheter på sjukhus programvara med kända sårbarheter.

Att byta ut utrustning är sällan ett alternativ, då en MR-kamera kostar flera miljoner och har en förväntad livslängd på 10-15 år. Istället krävs kompenserande åtgärder: nätverkssegmentering, övervakning av avvikande trafik och begränsning av enheternas kommunikationsvägar.

Kompetensbristen

Cybersäkerhetsspecialister är en bristvara generellt, men situationen är särskilt svår inom offentlig sektor. Lönenivåerna i regionerna kan sällan konkurrera med privat sektor. Resultatet blir att många regioner förlitar sig på externa konsulter för specialistkompetens, vilket i sig skapar beroendeförhållanden som NIS2:s leveranskedjekrav adresserar.

Delad IT-infrastruktur

Sveriges 21 regioner driver i flera fall gemensamma IT-lösningar. Inera, som ägs av SKR och regionerna, tillhandahåller bland annat 1177 Vårdguiden och Nationell Patientöversikt. En incident hos Inera kan påverka alla anslutna regioner. NIS2 kräver att sådana beroenden kartläggs och att ansvaret för säkerheten är tydligt avtalat.

Vilket ansvar har ledningen under NIS2?

Artikel 20 i NIS2 inför explicit ledningsansvar för cybersäkerhet. Enligt direktivets text ska ledningsorgan godkänna och övervaka de säkerhetsåtgärder som implementeras. Regionstyrelsen eller sjukhuslednigen kan inte delegera bort detta ansvar helt.

[UNIQUE INSIGHT]

Konkret innebär det att:

• Regionstyrelsen eller motsvarande organ ska formellt godkänna cybersäkerhetspolicyn
• Ledningen ska genomgå utbildning i cybersäkerhet (inte bara informeras)
• Enskilda ledamöter kan hållas personligt ansvariga vid grov försummelse
• Sanktionsavgifter för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 procent av global omsättning

För regionpolitiker som sitter i styrelser är detta en ny verklighet. Cybersäkerhet är inte längre en IT-fråga, utan en styrelsefråga. Regiondirektören och hälso- och sjukvårdsdirektören behöver säkerställa att styrelsen får regelbundna rapporter om cybersäkerhetsläget.

IVO:s och MSB:s roller

Sverige har ännu inte slutgiltigt fastställt vilken myndighet som blir tillsynsmyndighet för sjukvården under NIS2. SOU 2024:18 föreslog att sektorsspecifika myndigheter ska ha tillsyn, vilket för sjukvården sannolikt innebär IVO. MSB behåller rollen som nationell kontaktpunkt och CSIRT.

Den dubbla tillsynen innebär att vårdgivare måste förhålla sig till både IVO:s krav på patientsäkerhet och MSB:s krav på informationssäkerhet. Organisationer som redan arbetar enligt MSB:s metodstöd för systematiskt informationssäkerhetsarbete har ett försprång.

Riskbedömning och compliance

Hur bör vårdgivare förbereda sig praktiskt?

En strukturerad förberedelse i fyra faser ger bäst resultat. Enligt ENISA NIS Investments Report 2023 lägger europeiska vårdorganisationer i genomsnitt 7 procent av sin IT-budget på cybersäkerhet, jämfört med 10 procent i finanssektorn. Gapet behöver minska.

Fas 1: Kartläggning (månad 1-2)

Börja med att kartlägga alla kritiska system och informationstillgångar. Det inkluderar journalsystem, medicinteknisk utrustning, administrativa system och kommunikationslösningar. Identifiera beroenden av externa leverantörer och delade infrastrukturer.

Fas 2: Gap-analys (månad 2-3)

Jämför nuvarande säkerhetsnivå mot NIS2:s krav i Artikel 21. Prioritera de tio åtgärdsområdena och bedöm var organisationen har störst brister. Dokumentera resultaten strukturerat, då denna analys blir grunden för investeringsbeslut.

Fas 3: Åtgärdsplan (månad 3-6)

Ta fram en åtgärdsplan med tydliga prioriteringar, ansvar och budget. Fokusera först på incidenthanteringsrutiner och rapporteringsförmåga, då detta är ett område med hård tidsgräns. Implementera sedan tekniska åtgärder som nätverkssegmentering och MFA.

Fas 4: Implementering och uppföljning (löpande)

Genomför åtgärderna enligt plan. Testa incidenthanteringsrutinerna genom tabletop-övningar. Utbilda personalen. Inför regelbundna revisioner. Rapportera till ledningen kvartalsvis.

[INTERNAL-LINK: Molnsäkerhet för vårdorganisationer -> /sv/cloud-security-service/]

Vanliga frågor om NIS2 och sjukvård

Omfattas privata vårdgivare av NIS2?

Ja, privata vårdgivare som uppfyller storlekskriterierna (minst 50 anställda eller omsättning över 10 miljoner euro) omfattas. Dessutom kan medlemsstater inkludera mindre aktörer som bedöms vara samhällskritiska. Stora privata vårdkoncerner som Capio och Aleris träffas med säkerhet av kraven enligt EU 2022/2555.

Hur förhåller sig NIS2 till Patientdatalagen?

Patientdatalagen (2008:355) reglerar hur journaluppgifter ska hanteras. NIS2 reglerar den bredare cybersäkerheten i de system som hanterar dessa uppgifter. De överlappar delvis men ersätter inte varandra. En vårdgivare behöver följa båda regelverken, plus GDPR för personuppgiftsbehandlingen.

Vad händer om en vårdgivare inte uppfyller NIS2-kraven?

Sanktionerna för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen. Dessutom kan tillsynsmyndigheten utfärda förelägganden och i extremfall förbjuda ledningspersoner att utöva sina funktioner, enligt Artikel 32 i direktivet.

Behöver varje enskilt sjukhus rapportera separat?

Det beror på organisationsstrukturen. Om sjukhuset ingår i en region är det regionen som juridisk person som bär ansvaret. Regionen kan organisera rapporteringen centralt, men varje verksamhet måste ha rutiner för att snabbt eskalera incidenter internt så att 24-timmarsfristen kan hållas.

Finns det övergångsperioder?

NIS2-direktivet skulle ha implementerats i nationell lagstiftning senast 17 oktober 2024. Sverige och flera andra medlemsstater har försenats. SOU 2024:18 ligger till grund för den svenska implementeringen, men exakta datum för ikraftträdande beror på riksdagens behandling. Organisationer bör inte vänta, utan påbörja förberedelserna omgående.

Slutsats: Handla nu, inte när lagen träder i kraft

NIS2 ställer väsentligt högre krav på svensk sjukvård än det tidigare NIS-direktivet. Ledningsansvaret är personligt, sanktionerna kännbara och rapporteringskraven skarpa. Med 74 procent fler ransomware-attacker mot sjukhus sedan 2021 (ENISA, 2024) är kraven inte oproportionerliga.

De vårdgivare som redan arbetar systematiskt med informationssäkerhet enligt MSB:s metodstöd har ett försprång. Övriga bör påbörja sin gap-analys omgående. Cybersäkerhet handlar i sjukvården ytterst om patientsäkerhet, och det är ett argument som varje regionpolitiker förstår.

Fullständig NIS2-guide för svenska organisationer

NIS2 för kommuner och regioner

NIS2 för energisektorn

Av Fredrik Karlsson, Group COO & CISO

For hands-on delivery in India, see disaster recovery delivery.