Visst vi vet att vi är en samhällsviktig verksamhet”; så kan det låta när man pratar med företrädare för energibolag. Själva konstaterandet att man omfattas av NIS-direktivet som genomfördes i Sverige 2018 är det minst knepiga. Den relevanta frågan är väl snarare hur direktivet ska efterlevas så att den samhällsviktiga leveransen ska säkras. Men vad är då NIS närmare bestämt? NIS är ett EU-direktiv (The Directive on Security of Network and Information Systems) som varje medlemsstat i sin tur ska omvandla till ett nationellt lagkrav. För vår del i Sverige har direktivet antagits genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Denna lag kräver bland annat krav på ett systematiskt och riskbaserat informationssäkerhetsarbete. NIS-direktivet alltså är alltså i grund och botten en fråga om informationssäkerhet som MSB som har tagit fram föreskrifter för. Lagen ger även en fingervisning om att det riskbaserade och systematiska ska göras med stöd av ett ledningssystem för informationssäkerhet (LIS).

NIS direktivet har ju inte fått samma mediala uppmärksamhet som GDPR. Det mediala intresset kring NIS har snarare varit lågt i jämförelse med den uppmärksamhet varit kring GDPR-relaterade frågor. Som en naturlig följd av detta uppstår många frågor som rör hur vi ska leva upp till NIS. Att svara på hur något ska göras brukar ju alltid vara knepigare än att svara på vad som ska göras. Det finns dock några åtgärder som bör göras för att sträva mot ett riskbaserat och systematiskt arbete med informationssäkerhet utifrån NIS-perspektivet. Några steg på vägen mot ett riskbaserat och systematiskt arbete med informationssäkerhet för att säkra upp samhällsviktiga digitala tjänster är;

  1. Börja med att identifiera er själva som leverantör av samhällsviktig tjänst och anmäl detta till Energimyndigheten som är tillsynsmyndighet.
  2. Identifiera vad i verksamheten som är kritiskt utifrån NIS-perspektivet. Att organisationen har en medvetenhet och kunskap om detta är en fundamental grundsten.
  3. Gör en riskanalys av det som är identifierat som kritiskt och vidta nödvändiga åtgärder.
  4. Organisationen har 72 timmar på sig att rapportera incidenter, vilket ställer krav på effektiva processer och rutiner för att förhindra och upptäcka incidenter och avvikelser.
  5. Tänk och öva kontinuitet. Att planera och träna för tänkbara avbrott i den samhällsviktiga leveransen kan inte underskattas.
  6. Regelbundna uppföljningar för att uppnå ständiga förbättringar är en del av systematiken.

Med dessa punkter har ni tagit några steg framåt på vägen mot att säkra upp samhällsviktiga och digitala tjänster.

Mikael Pettersson
Latest posts by Mikael Pettersson (see all)