NIS-direktivet genomfördes 2018 i Sverige och för att direktivet skulle bli giltigt i svensk rätt behövde det införlivas i den svenska rättsordningen. Därför trädde en ny lag i kraft 1 augusti 2018, lagen om informations-säkerhet (2018:1174). Lagen gäller för leverantörer av samhällsviktiga och digitala tjänster och ställer nya högre krav gällande säkerhet.
Syftet med NIS-direktivet
Direktivet är identiskt för hela EU och även lagarna i respektive land som är baserade på direktivet har stora likheter. Syftet med direktivet är att uppnå en hög gemensam nivå på säkerheten i nätverk och informations-system för samhällsviktiga och digitala tjänster inom unionen. På så vis ska vi stärka den inre marknaden och minska sårbarheten för centrala samhällstjänster.
Vad är bakgrunden till NIS-direktivet?
Digitaliseringen skapar inte bara affärsmöjligheter utan möjliggör fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar.
Vad innebär NIS-direktivet rent praktiskt?
NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. Framförallt ligger fokus på nätverks- och informationssystem som används inom verksamheten.
Dina skyldigheter enligt NIS
Alla samhällsviktiga företag har nu 6 huvudsakliga skyldigheter gällande informationssäkerhet:
- Snarast anmäla sig till sin tillsynsmyndighet
- Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
- Årligen analysera verksamhetens risker och upprätta åtgärdsplaner. Dessa ska sedan ligga till grund för val av rätt säkerhetsåtgärder.
- Vidta ändamålsenliga och proportionella åtgärder för att hantera risker som hotar säkerheten
- Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
- Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.
Vill du läsa mer om NIS-direktivet, vilka det gäller och vad som behöver göras så kan du göra det här.
Har du koll på hur man arbetar systematiskt med informationssäkerhet?
Enligt MSB’s årsrapport om it-incidentrapportering 2018 så är det fortfarande flera myndigheter som inte arbetar på ett systematiskt och riskbaserat sätt med informationssäkerhet, vilket egentligen krävs av dem.
Vi kan förstå det. Att arbeta med ett systematiskt informationssäkerhetsarbete och välja rätt säkerhetsåtgärder kan kännas som ett stort och svårt arbete när man inte har erfarenhet av det. Dessutom krävs tillräckligt med resurser för att leva upp till kraven. Frågan om informationssäkerhet behöver därmed prioriteras av ledning och beslutsfattare.
På Advenica har vi lång erfarenhet av att analysera säkerheten för lösningar och produkter med det specifika syftet att identifiera nödvändiga motåtgärder och åtgärder för att säkerställa stabilitet. Därför kan vi hjälpa dig att se till att den data och skyddsvärda information som du äger och hanterar är väl skyddad. I samarbete med dig utvärderar våra experter kraven för att säkerställa att rätt säkerhetsnivå definieras utifrån identifierade utmaningar och en hotanalys.
Tveka inte att kontakta oss!