Efter GDPR - nu kommer NIS
EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån.
I skuggan av den omtalade dataskyddsförordningen GDPR kommer ytterligare ett EU-direktiv att gå i bruk under 2018, nämligen direktivet om hög gemensam nivå på nätverks- och informationssäkerhet, det så kallade NIS-direktivet. Om allt går som det ska blir det en ny svensk lag i maj 2018 och kommer då beröra alla som jobbar med kritisk infrastruktur. Men till skillnad från GDPR så handlar NIS inte om persondata utan om nätverk och it-säkerhet.
NIS-direktivet
NIS-direktivet införs 10 maj 2018 i Sverige. Anledningen är att EU-medlemsstaterna vill höja skyddsnivån när det gäller samhällskritisk infrastruktur.
Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som levererar samhällsviktiga funktioner såsom exempelvis sjukvård, bank, transport, elförsörjning och digital infrastruktur.
– Alla myndigheter samt kommuner och landsting och alla företag som levererar samhällsviktiga funktioner i sin stad inom exempelvis vattenförsörjning, elförsörjning, transport, sjukvård och så vidare måste följa direktiven, säger Albin Zuccato, nationell affärsområdeschef Säkerhet, på Atea, och fortsätter:
– Dessa aktörer måste kunna redovisa att de jobbar strukturerat och kontinuerligt med säkerheten i sina it-system och rapportera säkerhetsincidenter till CERT.se. Exempelvis el-leverantörer måste kunna visa upp att de kan leverera el med it-stöd under alla möjliga pågående attacker eller andra svåra förhållanden.
EU medvetna kring sårbarheter
Grunden till NIS-direktivet är att EU är oroliga över samhällets sårbarhet i relation till it-hot. Det finns attacker som halvt lamslagit länder, bland annat Estland, och även Sverige har haft sin beskärda del av attacker men då främst mot media samt mot datanätet. Därför måste det nu börja arbetas mer proaktivt, menar Albin Zuccato.
Vi kan inte stå bredvid och titta på längre, de kritiska funktionerna vi har måste skyddas.
Albin Zuccato, nationell affärsområdeschef Säkerhet, atea
– Vi kan inte stå bredvid och titta på längre, de kritiska funktionerna vi har måste skyddas. Det finns otäcka scenarion som kan orsaka skada för människoliv. Om någon attackerar ett vattenkraftverk kan det bli kraftiga översvämningar, manipulerar man avloppen kan avföring hamna i dricksvattnet, eller sänker man nätet så kan larmfunktionerna inom sjukvården bli påverkade - och de är helt beroende av sina kommunikationsnät. Möjligheterna till allt detta finns.
Ytterligare en skillnad mot GDPR blir kanske bötesbeloppen. Albin Zuccato tror inte att bötessystemet kommer finnas i samma grad, eller i alla fall att summorna inte kommer vara lika höga. Fast det är inget som är klart utan när lagen träder i kraft kommer den definiera hur de potentiella straffen blir. Men han tror och hoppas på att de möjligen uteblivna straffbeloppen inte kommer påverka de berörda aktörernas engagemang i arbetet.
– Jag utgår ifrån att många helt enkelt kommer börja jobba aktivt med sin säkerhet när man nu får en indikation på att man måste göra det. Framförallt hoppas jag på att de lite mindre företagen som exempelvis sysslar med vattenförsörjning i en liten kommun börjar med det. Större spelare som Vattenfall och SJ ska självklart jobba de också, men de har ju förmodligen redan någorlunda skydd, medan mindre företag kanske inte har något skydd alls. Och där kan de potentiella farorna vara minst lika stora.
Läs mer om ämnet: