Hoppa till huvudinnehåll

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.

NIS-direktivet, The Directive on security of network and information systems, är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster

Vad är syftet med NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka.

Vad är bakgrunden till NIS-direktivet?

Digitaliseringen skapar inte bara affärsmöjligheter utan möjliggör fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar.

NIS-direktivet pekar ut ett antal specifika sektorer

Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur pekas ut som specifika sektorer.

Genom att höja säkerheten i de utpekade sektorerna ska samhällets robusthet mot yttre störningar höjas.

Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker.

Vad innebär NIS-direktivet rent praktiskt?

NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen.

vad är nis-direktivet

Vad skiljer NIS-direktivet från GDPR?

Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. NIS handlar om att höja skyddet för infrastruktur, GDPR å andra sidan handlar om att skydda personuppgifter.

Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.

Behöver din verksamhet hjälp att höja informationssäkerheten?

Genom att identifiera verksamhetens viktigaste informationstillgångar kartläggs också vilka åtgärder som behöver vidtas i prioriteringsordning. Detta kan till exempel göras med hjälp av vår risk- och säkerhetsanalys.

Vill du läsa mer om NIS-direktivet? Ladda ner vårt White Paper #10 NIS-direktivet - ökad informationssäkerhet för samhällsviktiga tjänster