Hoppa till huvudinnehåll

Vad är NIS-direktivet?

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.
Lär dig hur.

NIS-direktivet är till för att höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.

 

NIS-direktivet, The Directive on security of network and information systems, är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster

 

Vad är syftet med NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka.

 

 

Vad är bakgrunden till NIS-direktivet?

Digitaliseringen skapar inte bara affärsmöjligheter utan möjliggör fler attackvektorer till verksamheters information och system. De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar.

 

NIS-direktivet pekar ut ett antal specifika sektorer

Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur pekas ut som specifika sektorer.

Genom att höja säkerheten i de utpekade sektorerna ska samhällets robusthet mot yttre störningar höjas.

 

Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker.

 

New call-to-action

 

Vad innebär NIS-direktivet rent praktiskt?

NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Detta innebär att personer, processer och teknologi måste beaktas i arbetet för att säkerställa informationssäkerheten inom alla verksamheter som berörs. En överlag bättre förståelse för riskklassificering av information och system, konsekvensberedskap och åtgärdsplaner krävs för att skapa bättre motståndskraft vid eventuella attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. Framförallt ligger fokus på nätverks- och informationssystem som används inom verksamheten.

 

Hur följer man NIS-direktivet?

Någonting man kan fråga sig när man ska börja arbeta med att följa NIS-direktivet är vilka delar som är centrala för verksamheten. Detta beror förstås på organisationen i fråga. Den krassa verkligheten är att ingen har möjlighet att skydda alla delar. Tillgångar, hot, risker och riskaptit måste därför vägas noga mot varandra för att hitta en rimlig balans och effektiva åtgärder. Det kan även vara bra att fundera över vilka delar som är mest sårbara för cyberattacker. Generellt är dataöverföring via nätverk eller kommunikation mellan säkerhetsdomäner mest utsatt. Segmentering samt säker dataöverföring är därför ofta avgörande för pålitlig drift. Du bör även fråga dig själv vilken information som är mest skyddsvärd – och om ni skyddar denna tillräckligt väl. Svaret ligger i analysen av dina tillgångar, hot, risker och riskaptit. Genom att förstå en potentiell attackerares förmåga och resurser, får du en bild av hur ett effektivt skydd måste utformas. Vilken risknivå är rimlig? Utgå ifrån konsekvenserna. Vad har verksamheten inte råd att förlora? Vad får absolut inte gå fel?

I Sverige råder lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster. Lagen är Sveriges sätt att anamma NIS-direktivet. I dessa föreskrifter finns ett antal punkter som tydliggör hur man kan anpassa sin verksamhet: 

 

Systematiskt och riskbaserat informationssäkerhetsarbete

Det informationssäkerhetsarbete som bedrivs gällande informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas efter organisationen. När man identifierat de risker som finns ska man tydliggöra organisationens ansvar för arbetet med informationssäkerhet, se till att alla resurser finns för att kunna utföra arbetet, samt se till att arbetet anpassas och utvärderas.

 

New call-to-action

 

Närmare krav på informationssäkerhetsarbetet

Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.

 

Särskilt om nätverk och informationssystem 

Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.

 

vad är nis-direktivet

 

Vad skiljer NIS-direktivet från GDPR?

Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. NIS handlar om att höja skyddet för infrastruktur, GDPR å andra sidan handlar om att skydda personuppgifter.

Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.

Vill du läsa mer om NIS-direktivet? Ladda ner vårt White Paper #10 NIS-direktivet - ökad informationssäkerhet för samhällsviktiga tjänster!

 

Vad skiljer NIS-direktivet från säkerhetsskyddslagen?

Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.

 

NIS och säkerhetsskyddslagen

 

I de scenarier som visas ovan illustrerar de olika rutorna: 

  1. En verksamhet där nätverks- och informationssystemen endast berörs av NIS
  2. En verksamhet där nätverks- och informationssystemen endast berörs av NIS, men andra delar av verksamheten berörs av säkerhetsskyddslagen
  3. En verksamhet där nätverks- och informationssystemen både berörs av NIS och säkerhetsskyddslagen
  4. En verksamhet där nätverks- och informationssystemen endast berörs av säkerhetsskyddslagen

 

För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.

Är man leverantör av samhällsviktiga eller vissa digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

 

Föreslaget nytt direktiv - NIS 2

Avsnitt tillagt i februari 2021.

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå - detta kallas NIS 2. När det nya förslaget antagits, har medlemsstaterna i EU 18 månader på sig att tillämpa det nya NIS 2-direktivet.

 

Brister i NIS-direktivet

NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:

  • Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
  • Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
  • Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering

 

NIS 2

 

Nya tillägg i NIS 2

Baserat på dessa brister har nya tillägg gjorts, vilket resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:

  • Nya sektorer (lista längre ner)
  • Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas 
  • Säkerhet för leverantörskedjor och leverantörer
  • Striktare tillsynsåtgärder för nationella myndigheter
  • Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
  • Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
  • Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten
  • Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter

 

Vem påverkas av NIS 2?

Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. 

I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.

Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.

Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.

 

Kommer du att påverkas av NIS 2?

Genom att identifiera verksamhetens viktigaste informationstillgångar kartläggs också vilka åtgärder som behöver vidtas i prioriteringsordning. Se vår guide för hur du gör en säkerhetsskyddsanalys! 
 

Behöver ni hjälp? Tveka inte att kontakta oss på Advenica! 

 

 

 

New call-to-action