U

Start » Learning Centre » Know-how » Vad är NIS-direktivet?

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Lär dig hur.

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.

NIS-direktivetThe Directive on security of network and information systems, är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster

Vad är syftet med NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka.

 

Vad är bakgrunden till NIS-direktivet?

Digitaliseringen skapar inte bara affärsmöjligheter utan möjliggör fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar.

NIS-direktivet pekar ut ett antal specifika sektorer

Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur pekas ut som specifika sektorer.

Genom att höja säkerheten i de utpekade sektorerna ska samhällets robusthet mot yttre störningar höjas.

Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker.

 

Ny uppmaning

Vad innebär NIS-direktivet rent praktiskt?

NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. Framförallt ligger fokus på nätverks- och informationssystem som används inom verksamheten.

Hur följer man NIS-direktivet?

Någonting man kan fråga sig när man ska börja arbeta med att följa NIS-direktivet är vilka delar som är centrala för verksamheten. Detta beror förstås på organisationen i fråga. Den krassa verkligheten är att ingen har möjlighet att skydda alla delar. Tillgångar, hot, risker och riskaptit måste därför vägas noga mot varandra för att hitta en rimlig balans och effektiva åtgärder. Det kan även vara bra att fundera över vilka delar som är mest sårbara för cyberattacker. Generellt är dataöverföring via nätverk eller kommunikation mellan säkerhetsdomäner mest utsatt. Segmentering samt säker dataöverföring är därför ofta avgörande för pålitlig drift. Du bör även fråga dig själv vilken information som är mest skyddsvärd – och om ni skyddar denna tillräckligt väl. Svaret ligger i analysen av dina tillgångar, hot, risker och riskaptit. Genom att förstå en potentiell attackerares förmåga och resurser, får du en bild av hur ett effektivt skydd måste utformas. Vilken risknivå är rimlig? Utgå ifrån konsekvenserna. Vad har verksamheten inte råd att förlora? Vad får absolut inte gå fel?

Alla samhällsviktiga företag har nu 6 huvudsakliga skyldigheter gällande informationssäkerhet:

  • Organisationen har skyldighet att anmäla till tillsynsmyndigheten att de berörs av NIS-regleringen
  • Organisationen ska kontinuerligt arbeta strukturerat, metodiskt och riskbaserat med informationssäkerhet enligt vedertagna standardiserade ramverk (ISO 27000-standarden eller motsvarande)
  • Årligen analysera verksamhetens risker och upprätta åtgärdsplaner. Dessa ska sedan ligga till grund för val av rätt säkerhetsåtgärder.
  • Vidta ändamålsenliga och proportionella åtgärder för att hantera risker som hotar säkerheten
  • Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
  • Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.

Nätverkssegmentering

En viktig del i att förbättra din informationssäkerhet för att följa NIS-direktivet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment.

 

Produkter som kan stärka din informationssäkerhet

Det finns många sätt att skydda sitt nätverk på – här är några av dem.

 

VPN-krypton

Ibland är det nödvändigt att kommunicera över Internet, men informationens känslighet kan hindra dig från att öppet kunna skicka den till mottagaren. Lösningen är att använda ett VPN-krypto (Virtual Private Network). VPN-krypton kan användas för att skydda ditt nätverk, medan du är ansluten till Internet, genom att skapa säkra och privata tunnlar mellan en enhet och ett nätverk, eller mellan två nätverk. På så sätt kan du vara ansluten till Internet, men informationen du skickar till andra enheter inom det privata nätverket krypteras och skickas säkert genom tunnlarna, vilket resulterar i trafik som inte kan läsas av någon utanför ditt privata nätverk.

Hårdvarubaserade krypteringslösningar är dyrare och kan vara lite mer komplicerade att hantera, men om du har känslig information eller information som behöver ett starkare skydd – vilket gör säkerhet högsta prioritet – bör hårdvarulösningar vara ditt val.

Läs mer om kryptering!

 

VPN-kryptering

 

Datadioder

En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsutbyte. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.

Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. Datadioder är hårdvaruprodukter som placeras mellan två nätverk. En datadiod fungerar som en backventil vars funktion endast tillåter data att skickas framåt medan den blockerar all data i motsatt riktning. Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod, vilket också bidrar till hög assurans.

Läs mer om datadioder och hur de fungerar!

 

Datadioder

 

Security Gateways

En security gateway är en enhet som styr informationsutbytet som äger rum mellan olika säkerhetsdomäner.

Om du har skyddsvärd eller till och med säkerhetsklassad information behöver du en lösning som erbjuder säker och filtrerad dubbelriktad kommunikation. Således måste du både säkerställa dubbelriktad kommunikation och vara säker på att inget skadligt kommer in i ditt känsliga nätverk, men även att känslig information och data inte läcker till ett mindre känsligt och mindre skyddat nätverk.

Syftet är att tillämpa en strikt kontroll på informationsnivå under själva informationsöverföringen och minska cyberhot som exempelvis manipulation, dataläckage och intrång. En security gateway vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en security gateway definierar accepterade strukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en security gateway analyseras informationen i meddelandet enligt den konfigurerade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.

Advenicas lösning heter ZoneGuard, läs mer om den här!

 

Säkerhetsport

Lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster

I Sverige råder lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster. Lagen är Sveriges sätt att anamma NIS-direktivet. I dessa föreskrifter finns ett antal punkter som tydliggör hur man kan anpassa sin verksamhet:

Systematiskt och riskbaserat informationssäkerhetsarbete

Informationssäkerhetsarbetet kring informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska inte bara anpassas till organisationen utan utföras med hjälp av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/ IEC 27002:2017. När de risker som finns identifierats ska organisationens ansvar för arbetet med informationssäkerhet förtydligas, alla resurser som behövs för att kunna utföra arbetet säkerställas och det ska säkerställas att arbetet är anpassat och utvärderas.

Närmare krav på informationssäkerhetsarbetet

Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.

Särskilt om nätverk och informationssystem

Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.

 

New call-to-action

 

Vad skiljer NIS-direktivet från GDPR?

Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. NIS handlar om att höja skyddet för infrastruktur, GDPR å andra sidan handlar om att skydda personuppgifter.

Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.

Vill du läsa mer om NIS-direktivet? Ladda ner vårt White Paper #10 NIS-direktivet – ökad informationssäkerhet för samhällsviktiga tjänster!

 

vad är nis-direktivet

 

Vad skiljer NIS-direktivet från säkerhetsskyddslagen?

Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.

 

NIS_och_säkerhetsskyddslagen_2

 

I de scenarier som visas ovan illustrerar de olika rutorna:

  1. En verksamhet där nätverks- och informationssystemen endast berörs av NIS
  2. En verksamhet där nätverks- och informationssystemen endast berörs av NIS, men andra delar av verksamheten berörs av säkerhetsskyddslagen
  3. En verksamhet där nätverks- och informationssystemen både berörs av NIS och säkerhetsskyddslagen
  4. En verksamhet där nätverks- och informationssystemen endast berörs av säkerhetsskyddslagen

För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.

Är man leverantör av samhällsviktiga eller vissa digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

 

New call-to-action

NIS 2

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett nytt direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2. Den 18 oktober 2024 börjar direktivet att gälla och då måste alla som berörs ha anpassat sina verksamheter. Bland annat gäller det uppdaterade direktivet för fler sektorer och fler tillägg.

Brister i NIS-direktivet

NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:

  • Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
  • Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
  • Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering

 

2 NIS

Nya tillägg i NIS 2

Baserat på dessa brister har nya tillägg gjorts, vilket resulterat i NIS 2. Dessa är de mest framträdande tilläggen:

  • Större skala än NIS, fler sektorer betraktas som viktiga tjänster (lista längre ner)
  • Chefer hålls ansvariga för att säkra verksamheten.
  • Incidentrapportering måste nu göras inom 24 timmar istället för 72 timmar.
  • Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
  • Säkerhet för leverantörskedjor och leverantörer
  • Striktare tillsynsåtgärder för nationella myndigheter
  • Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
  • Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
  • Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2 % av verksamhetens totala omsättning i hela världen, beroende på vilket som är högst.
  • Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter

 

Rekommendationer om kryptering

I NIS 2 finns även rekommendationer om att använda kryptering och kryptografi. Bland annat kan kryptering och relaterade säkerhetsmetoder (autentisering, integritetsbevaring samt oförnekbarhet) inbegripas i insatser som ska skydda nätverks- och informationssystem. Det nämns även att allmänna elektroniska kommunikationsnät och tillgängliga elektroniska kommunikationstjänster bör använda kryptering och speciellt sådan kryptering som kallas end-to-end-kryptering.

Vem påverkas av NIS 2?

Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. Detta som en åtgärd för att svara på Europas ökade exponering för cyberhot.

I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.

Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.

Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.

Utvidgningen av räckvidden som omfattas av de nya reglerna, genom att effektivt tvinga fler verksamheter och sektorer att vidta åtgärder för hantering av cybersäkerhetsrisk, kommer att bidra till att öka cybersäkerhetsnivån i Europa på medellång och lång sikt.

Läs mer om NIS 2 för OT-verksamheter!

Kommer du att påverkas av NIS 2?

Varje verksamhet som berörs kommer nu att behöva ha en välorganiserad incidenthantering, ett strukturerat förhållningssätt till riskhantering och en cybersäkerhetsansvarig på ledningsnivå.

Med verkliga sanktionsavgifter för företag som inte tar hand om sitt ansvar (2 % av försäljningen eller 10 MEUR) samt personligt ansvar för VD och myndighetstillsyn måste du verkligen se till att du följer direktivet!

Så vad ska man göra nu?

Först och främst: Ta reda på om du och/eller dina kunder omfattas av direktivet! Om du till exempel är en verksamhet som tillhandahåller en tjänst som är nödvändig för att upprätthålla kritiska samhälleliga och/eller ekonomiska aktiviteter, till exempel ett energibolag, klassificeras du som en “operatör av väsentliga tjänster”. Börja sedan med att reda ut vilka krav som ställs på dig och gör en gapanalys mot nuläget.

Här är några åtgärder som alla företag som berörs av NIS måste vidta:

  • Vidta säkerhetsåtgärder för att skydda nätverkssäkerhet och informationssystem. Detta inkluderar riskanalys och säkerhetspolicyer för informationssystem.
  • Krav på att rapportera incidenter som påverkar kontinuiteten i tjänsterna (förebyggande, upptäckt och reaktion på incidenter).
  • Arbeta med affärskontinuitet och krishantering samt leveranskedjans säkerhet. Detta inkluderar att ha policys och rutiner för riskhanteringsåtgärder för cybersäkerhet.
  • Användning av kryptografi och kryptering.
  • Tillsyn av utsedda tillsynsmyndigheter
  • Arbeta systematiskt och riskbaserat med sin informationssäkerhet

Läs mer i vårt Use Case om hur du kan stärka din informationssäkerhet för att förbereda dig för NIS 2!

Om du har aktiviteter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra i framtiden. Det har antytts att det särskilda undantaget som gjorde att säkerhetsskyddet alltid bröt mot NIS-direktivet kommer att ändras.

Med nya NIS 2 kommer ledningsgrupper att ha en avgörande och aktiv roll i övervakningen och genomförandet av dessa åtgärder. Vad kan hända om en viktig verksamhet inte uppfyller kraven?

  • Böter på upp till 10 MEUR eller 2 % av den totala globala årliga omsättningen. Läs mer om hur du kan undvika dessa sanktioner!
  • Ledningen får ta ansvar
  • Tillfälliga förbud riktade mot chefer
  • Utseende av en övervakningsansvarig

 

Behöver ni hjälp? Tveka inte att kontakta oss på Advenica!

 


paper-cover_NIS-2-Guide
 
 

Ladda ned guide

Relaterade artiklar