Reglering av IT-säkerhet viktig både för säkerhet och handel

Publicerad: 11 jun 2018

Allt fler företag får problem med handeln med IT-produkter. Några av orsakerna är olika regler för IT-säkerhet i skilda länder och brist på internationell samordning. Men hur ska reglerare hitta vägar för höjd IT-säkerhet som samtidigt tar hänsyn till internationell handel? Det diskuteras i en ny rapport från Kommerskollegium. Vår expert Heidi Lund berättar mer.

Vad är det du har utrett, Heidi?

– Jag har kartlagt hur säkerhet i IT-produkter regleras. Denna reglering har en stor inverkan på produkternas möjlighet att komma in på olika marknader internationellt. Jag diskuterar om en ökad harmonisering av regler för IT-säkerhet är möjlig, särskilt då det är uppenbart att befintliga regleringsstrategier präglas av nationella särintressen snarare än försök till samordning och internationella åtaganden.

Varför är Kommerskollegium intresserad av frågan?

– Omvärldsbevakning och analys av digitaliseringsfrågor är viktigt för Kommerskollegium som handelsmyndighet. För även om digitaliseringen bidrar till stor effektivitet resulterar den även i sårbarheter som beslutfattare och reglerare måste ta ställning till. Reglering av IT-säkerhet är inte bara är en fråga för nationell säkerhet utan även för handelspolitik. Här har Kommerskollegium en roll i att uppmärksamma de faktorer som kan påverka handeln internationellt.

– Kommerskollegium märkte redan för flera år sedan att IT-säkerhetsreglering i hög utsträckning påverkar handeln. Ett ökande antal handelshinder med koppling till IT-säkerhetsreglering diskuteras i Världshandelsorganisationen (WTO). Därför ville vi undersöka vilka faktorer som spelar in i regleringen av IT-säkerhet och analysera huruvida det är möjligt att i högre grad harmonisera IT-säkerhetsregler internationellt.

Vilka är de viktigaste slutsatserna?

– Utredningen visar att reglering av IT-säkerhet är ett komplext område som inte följer samma struktur och logik som varureglering generellt.

– IT-säkerhet är framför allt en policyutmaning. Beslutsfattare och myndigheter – både från säkerhets- och handelsområdet – behöver försäkra sig om att de har en helhetsbild om de frågor som är kopplade till policyåtgärder på IT-säkerhetsområdet. Experter, beslutsfattare och företag behöver noggrant bevaka, och öppet diskutera, olika regulativa angreppsätt och åtgärder för att höja IT-säkerheten. Ett ökat förtroende mellan både länder och regelgivare är en avgörande faktor för ökad IT-säkerhet och färre problem för handeln, än viktigare än de enskilda handelshindren.

Var det något som överraskade dig under utredningens gång?

– Insikten att IT-säkerhetsreglering inte är en teknisk- utan en policyutmaning. Hur IT-säkerhet bäst regleras beror både på vilka informationstillgångar olika länder måste skydda och de förmågor de har att skydda dem. Detta varierar mycket mellan olika länder. Att hitta vägar för höjd IT-säkerhet som också tar hänsyn till internationell handel är därför en av de viktigaste frågorna.

Finns det något tidskritiskt i frågan?

– Antalet IT-säkerhetsincidenter och -attacker ökar och får allt värre konsekvenser. Samtidigt omsätter cybermarknaden allt större värden. Det behövs mer kunskap om vad olika skyddsåtgärder innebär och om olika regleringar faktiskt är effektiva och försvarbara.

– Just nu förhandlas ny EU-lagstiftning på IT-säkerhetsområdet – en förordning om cybersäkerhetscertifiering. De ställningstaganden och åtaganden som medlemsstaterna tar i den processen blir intressanta att observera från ett handelsperspektiv.

Vad hoppas du händer nu?

– Min förhoppning är att fler får upp ögonen för vikten av IT-säkerhet och effekterna av IT-säkerhetsreglering, speciellt beslutsfattare och reglerande myndigheter. Och att de skapar sig en helhetssyn på faktorer som de behöver beakta i beslutsfattandet när det gäller IT-säkerhetsreglering, särskilt när det gäller internationellt regulativt samarbete. Det är också viktigt att nationella strategier som rör informations- och cybersäkerhet mer utförligt integrerar aspekter som rör handel och innovation.

Läs rapporten The Cyber Effect – The implications of IT security regulation on international trade
Rapporten är på engelska, med svensk sammanfattning.