NIS-direktivet stärker säkerheten för samhällsviktiga och digitala tjänster

Nätverk och informationssystem utgör en viktig del i samhället. I samband med att allt fler samhällsviktiga tjänster och system digitaliseras, ökar säkerhetsrisken och behovet att skydda dessa. EU har tagit fram ett direktiv som tvingar samhällsviktiga tjänster i samhället att arbeta med hantering av risker och incidenter för att skärpa säkerheten och uppnå en hög gemensam säkerhetsnivå.

Tvingar ökad säkerhet

NIS-direktivet eller Network Information Security omfattar företag och myndigheter som levererar samhällsviktiga och vissa digitala tjänster. Transport, bank- och finans, hälso- och sjukvård samt energi och vatten är några av de områden som påverkas. NIS-direktivet innebär i praktiken rapporteringsskyldighet vid incidenter samt arbete med säkerhetsstandarder för att upprätthålla en hög säkerhetsnivå.

För att leva upp till NIS-direktivet krävs ett omfattande arbete kring IT- och informationssäkerhet. De flesta krav uppfylls genom att arbeta med ett ledningssystem mot en certifiering i informationssäkerhet (ISO 27001).

Tillsyn

Det är ett krav i NIS-direktivet att medlemsstaterna utser myndigheter som sköter övervakning och tillämpning av direktivet.

De utsedda tillsynsmyndigheterna sköter tillsynen inom sin sektor. Tillsynen består av att kontrollera att verksamheterna inom sektorerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

För digitala tjänster bedrivs tillsyn enbart i efterhand. Det innebär att post- och telestyrelsen, vilket är tillsynsmyndighet för digitala tjänster, enbart bedriver tillsyn när de har befogad anledning att anta att en leverantör inte uppfyller kraven.

Sektor Tillsynsmyndighet
Energi Statens energimyndighet
Transport Transportstyrelsen
Bankverksamhet Finansinspektionen
Finansmarknadsinfrastruktur Finansinspektionen
Hälso- och sjukvårdssektorn Inspektionen för vård och omsorg
Leverans och distribution av dricksvatten Livsmedelsverket
Digital infrastruktur Post- och telestyrelsen
Digitala tjänster Post- och telestyrelsen

Sanktioner

Likt dataskyddsförordningen finns sanktioner mot verksamheter som bryter mot NIS-direktivet. Tillsynsmyndigheten tar ut en sanktionsavgift om en verksamhet inte uppfyller de skyldigheter som leverantörer av samhällsviktiga tjänster har.

Hur stora sanktioner som utdöms skiljer sig mellan medlemsländerna. I Sverige är sanktionsavgiften maximalt 10 miljoner kronor. Hur stor sanktionen blir avgörs av tre olika faktorer.

  1. Den risk eller skada som uppstått till följd av överträdelsen
  2. Om leverantören tidigare begått en överträdelse
  3. De kostnader som leverantören har undvikt till följd av överträdelsen.

Skyldigheter

Skyldigheterna för leverantörer av samhällsviktiga tjänster är:

  • Att anmäla sin verksamhet som samhällsviktig
  • Att genomföra årliga riskanalyser och förebyggande tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa kontinuitet (eller tillgänglighet) i tjänsterna
  • Att utan onödigt dröjsmål rapportera incidenter som har betydande inverkan på kontinuiteten.

Skyldigheterna för de verksamheter som faller inom ramen för leverantörer av digitala tjänster skiljer sig ifrån samhällsviktiga tjänster. Skyldigheterna är följande

  • Att anmäla sin verksamhet som samhällsviktig
  • Att genomföra lämpliga tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa tillgänglighet eller kontinuitet i tjänsterna när de erbjuder tjänster inom Europeiska unionen.
  • Att utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder till kunder inom Europeiska unionen.

För mer information kontakta oss eller läs mer på riksdagen.se.
Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster

Vi hjälper er med NIS-direktivet

Förutom att erbjuda stöd och vägledning genom NIS-direktivet erbjuder vi även IT-säkerhetstjänster som täcker hela eller delar av de krav som NIS-direktivet ställer. Vi kan bland annat erbjuda ISO 27001 projekt, sårbarhetsskanning, penetrationstester, säkerhetsövervakning samt personalutbildning. Utöver det har vi även säkerhetstjänster inom databasadministration samt en rad andra säkerhetsrelaterade tjänster som hjälper din organisation att leva upp till NIS-direktivet.

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen till höger, eller helt enkelt lyfta på luren och ringa.

Tel: 076 – 031 78 00
Besöksadress: Borgmästargränd 1D C

Jag är intresserad av