NIS-direktivet

Introduktion

NIS-direktivet stärker säkerheten för samhällsviktiga och digitala tjänster

Nätverk och informationssystem utgör en viktig del i samhället. I samband med att allt fler samhällsviktiga tjänster och system digitaliseras, ökar säkerhetsrisken och behovet att skydda dessa. EU har tagit fram ett direktiv som tvingar leverantörer av samhällsviktiga tjänster, att arbeta med hantering av risker och incidenter för att höja säkerheten och uppnå en hög gemensam säkerhetsnivå.

Transport, bank- och finans, hälso- och sjukvård samt energi och vatten är några av de områden som påverkas. NIS-direktivet innebär i praktiken rapporteringsskyldighet vid incidenter samt arbete med säkerhetsstandarder för att upprätthålla en hög säkerhetsnivå. För att leva upp till NIS-direktivet krävs ett omfattande arbete kring IT- och informationssäkerhet. De flesta krav uppfylls genom att arbeta med ett ledningssystem mot en certifiering i informationssäkerhet (ISO 27001).

Kontakta oss

Vill du veta mer om vår tjänst och våra lösningar? Kontakta oss så hjälper vi dig.

Några av våra kunder

Bakgrund

Vad är NIS-direktivet

NIS är en förkortning för ”nätverk och informationssystem” där direktivet syftar till att skydda nätverk och informationssystem som är avgörande för samhällets funktion genom att införa åtgärder för att hantera risker och incidenter. Lagstiftningen infördes av EU för att stärka säkerheten för samhällsviktiga och digitala tjänster.

NIS-direktivet omfattar olika sektorer som transport, bank- och finans, hälso- och sjukvård, energi och vatten, samt digital infrastruktur och digitala tjänsteleverantörer. Det kräver att medlemsländerna i EU upprättar nationella ramverk och strategier för att förbättra säkerheten inom dessa sektorer och fastställa minimikrav för hantering av cybersäkerhetsrisker.

Uppdateringen

NIS2-direktivet

NIS2-direktivet är en uppdaterad version av det ursprungliga NIS-direktivet som infördes av EU. Syftet med NIS2-direktivet är att ytterligare stärka säkerheten för samhällsviktiga och digitala tjänster. Liksom sin föregångare, fokuserar det uppdaterade nis-direktivet på att hantera risker och incidenter för att höja säkerheten och uppnå en hög gemensam säkerhetsnivå för nätverk och informationssystem.

NIS

Vi hjälper er med NIS-direktivet

Förutom att erbjuda stöd och vägledning genom NIS-direktivet erbjuder vi även IT-säkerhetstjänster som täcker hela eller delar av de krav som NIS-direktivet ställer. Vi kan bland annat erbjuda ISO 27001 projekt, sårbarhetsskanning, penetrationstester, säkerhetsövervakning samt personalutbildning.

Tillsyn

Det är ett krav i NIS-direktivet att medlemsstaterna utser myndigheter som sköter övervakning och tillämpning av direktivet. De utsedda tillsynsmyndigheterna sköter tillsynen inom sin sektor.

Tillsynen består av att kontrollera att verksamheterna inom sektorerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering.

För digitala tjänster bedrivs tillsyn enbart i efterhand. Det innebär att post- och telestyrelsen, vilket är tillsynsmyndighet för digitala tjänster, enbart bedriver tillsyn när de har befogad anledning att anta att en leverantör inte uppfyller kraven.

Sektor Tillsynsmyndighet
Energi Statens energimyndighet
Transport Transportstyrelsen
Bankverksamhet Finansinspektionen
Finansmarknadsinfrastruktur Finansinspektionen
Hälso- och sjukvårdssektorn Inspektionen för vård och omsorg
Leverans och distribution av dricksvatten Livsmedelsverket
Digital infrastruktur Post- och telestyrelsen
Digitala tjänster Post- och telestyrelsen

Sanktioner

Likt dataskyddsförordningen finns sanktioner mot verksamheter som bryter mot NIS-direktivet. Tillsynsmyndigheten tar ut en sanktionsavgift om en verksamhet inte uppfyller de skyldigheter som leverantörer av samhällsviktiga tjänster har.

Hur stora sanktioner som utdöms skiljer sig mellan medlemsländerna. I Sverige är sanktionsavgiften maximalt 10 miljoner kronor. Hur stor sanktionen blir avgörs av tre olika faktorer.

Den risk eller skada som uppstått till följd av överträdelsen
Om leverantören tidigare begått en överträdelse
De kostnader som leverantören har undvikt till följd av överträdelsen.

Skyldigheter

Skyldigheterna för leverantörer av samhällsviktiga tjänster är:

  • Att anmäla sin verksamhet som samhällsviktig
  • Att genomföra årliga riskanalyser och förebyggande tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa kontinuitet (eller tillgänglighet) i tjänsterna
Att utan onödigt dröjsmål rapportera incidenter som har betydande inverkan på kontinuiteten.
Skyldigheterna för de verksamheter som faller inom ramen för leverantörer av digitala tjänster skiljer sig ifrån samhällsviktiga tjänster. Skyldigheterna är följande

  • Att anmäla sin verksamhet som samhällsviktig
  • Att genomföra lämpliga tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa tillgänglighet eller kontinuitet i tjänsterna när de erbjuder tjänster inom Europeiska unionen.
  • Att utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder till kunder inom Europeiska unionen.

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster

Hör av dig!