Hoppa till huvudinnehåll

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.
Lär dig hur.

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.

 

NIS-direktivet, The Directive on security of network and information systems, är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster

 

Vad är syftet med NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka.

 

 

Vad är bakgrunden till NIS-direktivet?

Digitaliseringen skapar inte bara affärsmöjligheter utan möjliggör fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar.

 

NIS-direktivet pekar ut ett antal specifika sektorer

Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur pekas ut som specifika sektorer.

Genom att höja säkerheten i de utpekade sektorerna ska samhällets robusthet mot yttre störningar höjas.

 

Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker.

 

New call-to-action

 

Vad innebär NIS-direktivet rent praktiskt?

NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen.

 

vad är nis-direktivet

 

Vad skiljer NIS-direktivet från GDPR?

Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. NIS handlar om att höja skyddet för infrastruktur, GDPR å andra sidan handlar om att skydda personuppgifter.

Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.

Vill du läsa mer om NIS-direktivet? Ladda ner vårt White Paper #10 NIS-direktivet - ökad informationssäkerhet för samhällsviktiga tjänster!

 

NIS 2

 

Föreslaget nytt direktiv - NIS 2

Avsnitt tillagt i februari 2021.

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå - detta kallas NIS 2. När det nya förslaget antagits, har medlemsstaterna i EU 18 månader på sig att tillämpa det nya NIS 2-direktivet.

 

Brister i NIS-direktivet

NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:

 

  • Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
  • Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
  • Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering

 

NIS 2

 

Nya tillägg i NIS 2

Baserat på dessa brister har nya tillägg gjorts, vilket resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:

 

  • Nya sektorer (lista längre ner)
  • Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas 
  • Säkerhet för leverantörskedjor och leverantörer
  • Striktare tillsynsåtgärder för nationella myndigheter
  • Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
  • Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
  • Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten
  • Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter

 

Vem påverkas av NIS 2?

Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. 

I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.

Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.

Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.

 

Kommer du att påverkas av NIS 2?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. Genom att identifiera verksamhetens viktigaste informationstillgångar kartläggs också vilka åtgärder som behöver vidtas i prioriteringsordning. 
 

Se vår guide för hur du gör en säkerhetsskyddsanalys! 
 

Behöver ni hjälp? Tveka inte att kontakta oss på Advenica! 

 

 

New call-to-action