nis-tangentbord

NIS-direktivet - uppfyller din organisation lagkraven för hög nivå av informationssäkerhet i era nätverk och informationssystem?

Det pratas en hel del om NIS-direktivet och de nya kraven på säkerhetsarbete.

Här kommer sammanfattad information kring NIS-direktivet, några viktiga länkar samt tips på vad du och din organisation kan göra för att bemöta de nya kraven.

Vad är NIS-direktivet?

NIS-direktivet, The Directive on Security of Network and Information Systems, är ett direktiv med syfte att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. NIS-direktivet genomfördes i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster som trädde i kraft den 1 augusti 2018.

Varför NIS-direktivet?

Digitaliseringen har skapat många nya möjligheter men medför med sig även nya utmaningar och skapar sårbarheter när än mer är uppkopplat och är beroende av välfungerande teknik som ofta stöds av nya arbetsrutiner. Eftersom cyberattacker ökar och deras konsekvenser blir mer omfattande ska säkerheten inom kritisk infrastruktur höjas och med detta kan även hela samhällets robusthet mot yttre störningar höjas.

Vad innebär NIS-direktivet?

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster.

Påverkas min organisation av NIS-direktivet/lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster?

Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Samhällsviktiga tjänster är sådana som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Dessa aktörer kan finnas i både privat och offentlig sektor. Sju sektorer omfattas:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

Leverantörerna måste själva undersöka om de berörs av NIS-regleringen.

För att göra detta kan du svara på frågorna:

- Tillhandahåller din organisation en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet?

- Är tillhandahållandet av tjänsten beroende av nätverk och informationssystem?

- Skulle en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten?

Om du svarat ja på dessa frågor omfattas din organisation som leverantör av samhällsviktiga tjänster av NIS-direktivets regler och MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster, tillämpas. Den som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det enligt lagkrav till berörd tillsynsmyndighet.

Om du är leverantör av digitala tjänster omfattas din organisation av NIS-direktivets regler om du svarar ja på följande frågor:

- Har din organisation sitt huvudsakliga etableringsställe i Sverige?

- Har din organisation en årsomsättning som överstiger 10 miljoner euro?

- Har din organisation 50 eller fler anställda?

Leverantörer av digitala tjänster använder lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

 

 

 

 

Berörs kommuner av NIS-regleringen?

Ja, kommuner kan beröras av NIS-regleringen som leverantörer av samhällsviktiga tjänster. Vanliga sektorer är dricksvatten, energi samt hälsa- och sjukvård.

Berörs privata vårdgivare av NIS-regleringen?

Ja, privata vårdgivare kan beröras av NIS-regleringen.

Vad innebär kraven på informationssäkerhet för leverantörer som omfattas av NIS-regelverket?

Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Även leverantörer av digitala tjänster ska vidta säkerhetsåtgärder för att hantera risker och säkerställa kontinuiteten.

Var hittar jag mer information om lagen, förordningen samt föreskrifterna och allmänna råd om rapportering av incidenter?

Mer information och bra länkar finns på MSB:s websida: Lag, förordning och föreskrifter.

Vad kan Expisoft hjälpa er med?

Expisofts högsäkerhetsprodukter och tjänster kan hjälpa er organisation att uppfylla lagkraven i samband med NIS-direktivet och lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster som trädde i kraft den 1 augusti 2018.

Alla de organisationer som identifierat sig som en leverantör skall uppnå en hög nivå av informationssäkerhet i sina nätverk och informationssystem. För att uppnå detta skall leverantören arbeta systematiskt och riskbaserat med att införa säkerhetsåtgärder i sina nätverk och informationssystem för att minska risken för avbrott i kontinuiteten, oönskad åtkomst samt brister i informationens riktighet. Detta innebär att man skall arbeta med riskhantering, säkerhetsåtgärder (fysiska, tekniska samt organisatoriska), incidenthantering samt incidentrapportering.

Expisofts högsäkerhetslösningar kan hjälpa er organisation att skyddas från oönskad åtkomst, att skydda er information och att göra kommunikationen säkrare samt underlättar vid incidentrapportering. Genom att använda våra produkter och tjänster kan man visa att man arbetar systematiskt med säkerhetsåtgärder i sin organisation.

Våra färdiga högsäkerhetsprodukter är snabba att implementera. Vi kan även skräddarsy säkerhetslösningar som passar just din organisation. Kontakta oss så hjälper vi välja den bästa lösningen enligt era behov.

Eliza Öberg 2020

Kontaktuppgifter:

Eliza Öberg

mob. 076-3141447

eliza.oberg@www.expisoft.se