Nu är det 1 år sedan NIS-direktivet trädde i kraft i Sverige. Direktivets syfte är att leverantörer av samhällsviktiga tjänster ska arbeta med riskbaserad säkerhet. Detta innebär bland annat krav på både rapporteringsskyldigheter vid incidenter samt att kontinuerligt arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk. Även säkerhetsanalyser och efterföljande åtgärdsplaner ska dokumenteras och följas upp årligen. Går arbetet med allt detta framåt i din organisation? Har ni satt igång arbetet med att efterleva alla krav?
Bakgrunden och syftet med NIS-direktivet
Digitaliseringen möjliggör inte bara affärsmöjligheter utan skapar också fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser.
Som en reaktion på utvecklingen antog EU NIS-direktivet (The Directive on Security of Network and Information Systems) under 2016, ett regelverk som omvandlas till nationella lagkrav hos samtliga medlemsstater. Syftet med direktivet är att etablera en säkerhetsstandard inom den digitala världen som skyddar den infrastruktur som bygger upp vårt samhälle och vår ekonomi
Sverige har antagit direktivet genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Myndigheten för samhällsskydd och beredskap har sedan tillsammans med de sju tillsynsmyndigheterna tagit fram närmare föreskrifter som alla berörda ska följa.
Vilka företag är berörda av NIS-direktivet?
Direktivet syftar till att utvalda leverantörer av samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster behöver vidta säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. Om din organisation levererar samhällsviktiga tjänster inom sektorerna energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten eller digital infrastruktur, då omfattas ni sannolikt av NIS och behöver följa dess regler.
Är din organisation igång med arbetet som NIS-direktivet kräver?
NIS-direktivet innebär flera olika krav på de berörda organisationerna, bla följande:
- Organisationen har skyldighet att anmäla till tillsynsmyndigheten att de berörs av NIS-regleringen
- Organisationen ska kontinuerligt arbeta strukturerat och metodiskt med informationssäkerhet enligt vedertagna standardiserade ramverk (ISO 27000-standarden eller motsvarande)
- Organisationen ska vidta lämpliga säkerhetsåtgärder
- Organisationen ska dokumentera och årligen följa upp Säkerhetsanalyser och efterföljande åtgärdsplaner
- Organisation har rapporteringsskyldighet vid incidenter
Går arbetet med allt detta framåt i din organisation? Vet ni hur ni ska gå tillväga när det gäller att genomföra säkerhetsanalyser och välja lämpliga säkerhetsåtgärder?
Vi kan hjälpa er att efterleva NIS-direktivet
Advenica har lång erfarenhet av att analysera säkerheten för lösningar och produkter med det specifika syftet att identifiera nödvändiga motåtgärder och åtgärder för att säkerställa stabilitet. Vi kan hjälpa dig att se till att den data och kritisk information som du äger och hanterar är väl skyddad.
När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. Genom att identifiera verksamhetens viktigaste informationstillgångar kartläggs också vilka åtgärder som behöver vidtas i prioriteringsordning. Ett bra sätt att göra detta är med hjälp av vår risk- och säkerhetsanalys.
Med verksamheten i fokus ger denna analys er en helhetsbild av digitala affärsflöden i syfte att realisera värdekedjans potential och Identifiera besparingsmöjligheter. Detta samtidigt som vi säkerställer skydd mot obehörig tillgång till system och information samt även lag- och regeluppfyllnad.
Analysen ger er en genomlysning av cybersäkerhet i företagets verksamhetskontext. Ni får förslag på angreppssätt och prioriterade områden att jobba vidare med för att nå full digital potential – idag och imorgon. På så sätt kan ni säkerställa att ni lever upp till kraven gällande säkerhetsanalyser och säkerhetsåtgärder i NIS-direktivet.
Intresserad av en risk- och säkerhetsanalys? Kontakta oss här.