Landskapet Åland behöver ta några stora steg i digitaliseringsprocessen för att få bort eller i alla fall radikalt minska det som av politiker beskrivits som en digitaliseringsskuld.

För att hantera detta krävs en hel del förberedande och löpande systematiskt arbete med det formella kring dokumentation, avtal och annat som härrör från redan gällande ”allmänna dataskyddsförordningen” (GDPR 2018). Men även av den för allmänheten mindre kända EU-förordningen för ”nätverk och informationssystem”, NIS. NIS reglerar hur offentlig verksamhet och andra samhällsviktiga företag och tjänster inom EU ska skydda sina nätverk och informationssystem. För Ålands del ingår verksamheter som till exempel Ålcom för kommunikation, Ålands Elandelslag för energi och ÅHS för sjukvård.

Med nya EU-förordningen NIS2 som ersätter NIS och som börjar gälla nu den 18 oktober 2024, breddas cyber- och informationssäkerhetskraven ytterligare och inkluderar fler tjänster som är viktiga för vårt samhälle. Lägg därtill landskapets informationshanteringslag (från den 1 januari 2025) som ställer större krav på det offentligas informationshantering av uppgifter av skyddsvärd karaktär. Det innebär fler regleringar på behandlingen av data och ytterligare krav på säkerheten i informationssystemen, men också kontinuitets- och åtgärdsplaner för hantering av eventuella incidenter.

Frågan är hur detta ska granskas och samordnas framöver. Att NIS2 måste hanteras är fastslaget 2022 (EU 2022/2555) och inom några veckor bör allt vara förberett eller på plats. Just nu verkar det som om Traficoms nationella cybersäkerhetscentrum ska vara tillsynsmyndigheten för Åland. Osäkert om det ska gälla alla samhällssektorer eller om det kommer spridas ut till andra myndigheter. Kommer Traficom att kolla om till exempel Ålands Elandelslags servrar håller måttet eller blir det energimyndigheten?

Garanterar detta, utan språkförbistringar att våra kommuner och myndigheter eller någon av deras underleverantörer, är redo att hantera till exempel en säker uppkoppling mot Kanta för nya VIS (vårdinformationssystemet på ÅHS)? Kan möjligtvis Åda samordna delar av det? Ja frågorna är många, men än så länge är svaren få och någon ”quick fix” finns det inte.

Åland borde inrätta en övergripande och samordnande tillsynsmyndighet så vi själva kan ha koll på det EU säger att vi måste göra. Slå ihop resursbehoven för att samordna uppgifterna för såväl NIS2 och GDPR, som ändå sammanfaller i arbetssätt och som sannolikt skulle gynnas av att jobba nära varandra. Där finns en del att tjäna och gärna innan någon cyberincident sänker internet under en längre period.

Som informationssäkerhetsspecialist och med flerårig erfarenhet på området ser jag ett uppdämt behov hos kommuner och myndigheter av att skaffa sig kunskap och förutsättningar för att täcka upp för dessa krav. Frågan är hur förberett Åland är på detta och vad strategin egentligen är inför framtiden.

Joakim Örblom