NIS-direktivet
– Stärker säkerheten för samhällsviktiga och digitala tjänster
Nätverk och informationssystem utgör en viktig del i samhället. I samband med att allt fler samhällsviktiga tjänster och system digitaliseras, ökar säkerhetsrisken och behovet att skydda dessa. EU har tagit fram ett direktiv som tvingar leverantörer av samhällsviktiga tjänster, att arbeta med hantering av risker och incidenter för att höja säkerheten och uppnå en hög gemensam säkerhetsnivå.
Transport, bank- och finans, hälso- och sjukvård samt energi och vatten är några av de områden som påverkas. NIS-direktivet innebär i praktiken rapporteringsskyldighet vid incidenter samt arbete med säkerhetsstandarder för att upprätthålla en hög säkerhetsnivå. För att leva upp till NIS-direktivet krävs ett omfattande arbete kring IT- och informationssäkerhet. De flesta krav uppfylls genom att arbeta med ett ledningssystem mot en certifiering i informationssäkerhet (ISO 27001).
Krav att höja informationssäkerheten • Skyddar centrala system mot yttre påverkan • Fokus kring riskanalys och ledningssystem
Vi hjälper er med NIS-direktivet
Förutom att erbjuda stöd och vägledning genom NIS-direktivet erbjuder vi även IT-säkerhetstjänster som täcker hela eller delar av de krav som NIS-direktivet ställer. Vi kan bland annat erbjuda ISO 27001 projekt, sårbarhetsskanning, penetrationstester, säkerhetsövervakning samt personalutbildning.
Vill du veta mer?
Hör av dig till oss så hjälper vi dig att komma igång med ditt NIS-projekt.
Så här tycker våra kunder
Secify stöttar oss i dataskyddsfrågor och i vårt arbete med Data Privacy. På ett förtroendefullt sätt och med bred kompetens har Secify bidragit till vår leverans.
Robert Ekvall, IT Security & Company Integration Lead
Tillsyn
Det är ett krav i NIS-direktivet att medlemsstaterna utser myndigheter som sköter övervakning och tillämpning av direktivet.
De utsedda tillsynsmyndigheterna sköter tillsynen inom sin sektor. Tillsynen består av att kontrollera att verksamheterna inom sektorerna uppfyller kraven på säkerhetsåtgärder och incidentrapportering.
För digitala tjänster bedrivs tillsyn enbart i efterhand. Det innebär att post- och telestyrelsen, vilket är tillsynsmyndighet för digitala tjänster, enbart bedriver tillsyn när de har befogad anledning att anta att en leverantör inte uppfyller kraven.
| Sektor | Tillsynsmyndighet |
|---|---|
| Energi | Statens energimyndighet |
| Transport | Transportstyrelsen |
| Bankverksamhet | Finansinspektionen |
| Finansmarknadsinfrastruktur | Finansinspektionen |
| Hälso- och sjukvårdssektorn | Inspektionen för vård och omsorg |
| Leverans och distribution av dricksvatten | Livsmedelsverket |
| Digital infrastruktur | Post- och telestyrelsen |
| Digitala tjänster | Post- och telestyrelsen |
Sanktioner
Likt dataskyddsförordningen finns sanktioner mot verksamheter som bryter mot NIS-direktivet. Tillsynsmyndigheten tar ut en sanktionsavgift om en verksamhet inte uppfyller de skyldigheter som leverantörer av samhällsviktiga tjänster har.
Hur stora sanktioner som utdöms skiljer sig mellan medlemsländerna. I Sverige är sanktionsavgiften maximalt 10 miljoner kronor. Hur stor sanktionen blir avgörs av tre olika faktorer.
- Den risk eller skada som uppstått till följd av överträdelsen
- Om leverantören tidigare begått en överträdelse
- De kostnader som leverantören har undvikt till följd av överträdelsen.
Skyldigheter
Skyldigheterna för leverantörer av samhällsviktiga tjänster är:
- Att anmäla sin verksamhet som samhällsviktig
- Att genomföra årliga riskanalyser och förebyggande tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa kontinuitet (eller tillgänglighet) i tjänsterna
- Att utan onödigt dröjsmål rapportera incidenter som har betydande inverkan på kontinuiteten.
Skyldigheterna för de verksamheter som faller inom ramen för leverantörer av digitala tjänster skiljer sig ifrån samhällsviktiga tjänster. Skyldigheterna är följande
- Att anmäla sin verksamhet som samhällsviktig
- Att genomföra lämpliga tekniska åtgärder för att höja säkerheten i verksamhetens nätverk och informationssystem samt att säkerställa tillgänglighet eller kontinuitet i tjänsterna när de erbjuder tjänster inom Europeiska unionen.
- Att utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder till kunder inom Europeiska unionen.
För mer information kontakta oss eller läs mer på riksdagen.se.
Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster
Förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster
