Vad innebär NIS-direktivet i praktiken?
Cystore

Vad innebär NIS-direktivet i praktiken?

Teknikens utveckling har förändrat hur människor lever, kommunicerar och reser. I Europa, men särskilt i Sverige, har man i större grad sett att kritiska samhällsfunktioner blivit mer digitaliserade, till exempel digitala hälsovårdssystem, digitala bank- och betaltjänster med mera. En konsekvens av denna utveckling är det finns ett stort beroende av tillgänglighet av dessa tjänster för att kunna bevara funktionaliteten av det sammankopplade samhället vi lever i.

Med bakgrund av denna problematik beslutade därför EU-kommissionen att ta fram ett direktiv, Nätverk och Informationssystem (NIS), som handlar om att höja skyddet för samhällskritisk infrastruktur inom EU. Detta direktiv trädde i kraft i Sverige genom lag (2018:1174) och förordning den 1 augusti 2018. De organisationer som påverkas av detta verkar inom energi, transport, dricksvattenförsörjning, hälso- och sjukvård, bank och finansmarknadsinfrastruktur, digital infrastruktur samt vissa digitala tjänster. Myndigheten för samhällsskydd och beredskap (MSB) fick i uppdrag att utfärda föreskrifter som visar hur man som leverantör av samhällsviktiga tjänster ska uppfylla kraven i den svenska lagen. Tillsynsmyndigheter har utsetts för varje sektor som skall ansvara för att se till att kraven i föreskrifterna efterlevs.

Vad innebär detta praktiskt?

Den 1a november 2018 trädde MSBs föreskrifter om anmälan och identifiering av samhällsviktiga tjänster samt föreskrifter om informationssäkerhet för samhällsviktiga tjänster i kraft.

Föreskriften om anmälan och identifiering av samhällsviktiga tjänster innebär att man som leverantör ska ha identifierat sig själv som en NIS-leverantör och anmält sig till den tillsynsmyndighet som är ansvariga för den sektorn man tillhör. Det är värt att notera att kriterierna för att omfattas varierar från sektor till sektor. En leverantör av en samhällsviktig tjänst kan vara statlig myndighet, kommun, landsting eller företag.

Syftet med MSBs föreskrift om informationssäkerhet för samhällsviktiga tjänster är att alla de organisationer som identifierat sig som en leverantör skall uppnå en hög nivå av informationssäkerhet i sina nätverk och informationssystem. För att uppnå detta skall leverantören arbeta systematiskt och riskbaserat med att införa säkerhetsåtgärder i sina nätverk och informationssystem för att minska risken för avbrott i kontinuiteten, oönskad åtkomst samt brister i informationens riktighet. Detta innebär att man skall arbeta med riskhantering, säkerhetsåtgärder (fysiska, tekniska samt organisatoriska), incidenthantering samt incidentrapportering. Enligt MSBs föreskrift ska varje leverantör bedriva det systematiska och riskbaserade informationssäkerhetsarbetet genom ett ledningssystem för informationssäkerhet (LIS) med stöd av standarderna i ISO 27000 serien eller annan liknande standard för informationssäkerhet.

Ett annat betydande krav som ställs är att leverantören av den samhällsviktiga tjänsten ska rapportera sina incidenter till den nationella samordningsmyndigheten för NIS, vilket i Sveriges fall innebär MSB. Föreskriften för incidentrapportering, vilket träder i kraft 1 mars 2019, kommer att beskriva vilka typ av incidenter som skall rapporteras till MSB och vilka tidsramar som gäller.

Vill du veta mer om statusen på er informationssäkerhet?

Vi på Cygate har erfarenhet av vad systematiskt informationssäkerhetsarbete innebär för din organisation.

Kontaktuppgifter:
Fredrik Börjesson
fredrik.borjesson@cygate.se
Tel: 072 509 86 31

Relaterat innehåll