De senaste åren har många lagar kring IT-säkerhet, cybersäkerhet och personlig integritet införts. Det kan vara svårt både att veta vilka lagar eller förordningar man ska följa och vad som är skillnaden mellan regelverken. I det här blogginlägget kommer vi att förklara en handfull nyligen införda säkerhetslagar och förordningar och vad som skiljer dem från varandra. På så sätt kan du bättre förstå hur de påverkar din verksamhet och vilka åtgärder du behöver vidta!
GDPR
Det var troligtvis inte någon som missade när GDPR trädde i kraft i maj 2018.
Genom att lagstifta betydelsefulla rättigheter för den enskilde, och motsvarande skyldigheter för organisationer som hanterar informationen, överförs makten över informationen till den enskilde. GDPR (General Data Protection Regulation) innebär omvälvande förändringar av IT-system. Det innebär även stora arbetsinsatser att anpassa alla system och rutiner till de nya kraven. Det i sin tur öppnar stora möjligheter för de som levererar tjänster och produkter inom informationssäkerhetsområdet. Det är ingen överdrift att jämföra arbetets omfattning med Y2K-anpassningen.
Så, GDPR syftar till att skydda den personliga integriteten och inte data som är viktig för Sverige eller organisationen i sig.
Säkerhetsskyddslagen
För att stärka säkerhetsskyddet föreslog regeringen år 2018 en säkerhetsskyddslag som trädde i kraft i april 2019. Den nya lagen, Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.
Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier:
- Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
- Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
- Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
- Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
- Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.
Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.
Hur man arbetar med säkerhetsskydd
Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställningstagande om huruvida en verksamhet till någon del är säkerhetskänslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys och baserat på detta kan man sedan ta beslut om man faller under definitionen säkerhetsskydd.
Det bästa sättet att börja följa säkerhetsskyddslagen är att göra en säkerhetsskyddsanalys – läs vår guide och lär dig att göra en sådan analys!
NIS-direktivet
Ett annat regelverk, som skulle kunna blandas ihop med säkerhetsskyddslagen, är NIS-direktivet. NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Med andra ord förbättrar direktivet informationssäkerheten för operatörer i sektorer som tillhandahåller viktiga tjänster till vårt samhälle och ekonomi.
NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster. Denna lag är Sveriges sätt att anta NIS-direktivet – eftersom det är ett EU-direktiv.
NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. Framför allt ligger fokus på nätverks- och informationssystem som används inom verksamheten.
NIS 2
Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2. När det nya förslaget antagits, har medlemsstaterna i EU 18 månader på sig att tillämpa det nya NIS 2-direktivet.
Baserat på dessa brister har nya tillägg gjorts, vilket resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:
- Nya sektorer (lista längre ner)
- Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
- Säkerhet för leverantörskedjor och leverantörer
- Striktare tillsynsåtgärder för nationella myndigheter
- Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
- Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
- Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten
- Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter
Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.
Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer. Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.
Här är några åtgärder som alla företag som berörs av NIS måste vidta:
- Vidta säkerhetsåtgärder för att skydda nätverkssäkerhet och informationssystem. Detta inkluderar riskanalys och säkerhetspolicyer för informationssystem.
- Krav på att rapportera incidenter som påverkar kontinuiteten i tjänsterna (förebyggande, upptäckt och reaktion på incidenter).
- Arbeta med affärskontinuitet och krishantering samt leveranskedjans säkerhet. Detta inkluderar att ha policys och rutiner för riskhanteringsåtgärder för cybersäkerhet.
- Användning av kryptografi och kryptering.
- Tillsyn av utsedda tillsynsmyndigheter
- Arbeta systematiskt och riskbaserat med sin informationssäkerhet
Skillnaden mellan NIS-direktivet och säkerhetsskyddslagen
Dessa två regelverk kan verka lika, men de är de facto ganska olika. Men det komplicerade är att delar av samma organisation i vissa fall kan behöva tillämpa ett, eller ibland båda, regelverk – men av olika anledningar. Detta beror helt på verksamhetens karaktär. Se tre olika scenarier i illustrationen nedan.
Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.
För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.
Är man leverantör av samhällsviktiga eller vissa digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.
Skillnaden mellan NIS-direktivet och GDPR
Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. NIS handlar om att höja skyddet för infrastruktur, GDPR å andra sidan handlar om att skydda personuppgifter.
Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.
Om du fortfarande är osäker på vilken typ av skydd du behöver, läs vår guide!
Tveka inte att kontakta oss om du har ytterligare frågor!
