Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Efter GDPR - nu kommer NIS

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån.

Text Fredrik Adolfsson 1 mars 2017 säkerhet

tåg 960640.jpg

I skuggan av den omtalade dataskyddsförordningen GDPR kommer ytterligare ett EU-direktiv att gå i bruk under 2018, nämligen direktivet om hög gemensam nivå på nätverks- och informationssäkerhet, det så kallade NIS-direktivet. Om allt går som det ska blir det en ny svensk lag i maj 2018 och kommer då beröra alla som jobbar med kritisk infrastruktur. Men till skillnad från GDPR så handlar NIS inte om persondata utan om nätverk och it-säkerhet.

NIS-direktivet

NIS-direktivet införs 10 maj 2018 i Sverige. Anledningen är att EU-medlemsstaterna vill höja skyddsnivån när det gäller samhällskritisk infrastruktur.

Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som levererar samhällsviktiga funktioner såsom exempelvis sjukvård, bank, transport, elförsörjning och digital infrastruktur.

 Alla myndigheter samt kommuner och landsting och alla företag som levererar samhällsviktiga funktioner i sin stad inom exempelvis vattenförsörjning, elförsörjning, transport, sjukvård och så vidare måste följa direktiven, säger Albin Zuccato, nationell affärsområdeschef Säkerhet, på Atea, och fortsätter:

 Dessa aktörer måste kunna redovisa att de jobbar strukturerat och kontinuerligt med säkerheten i sina it-system och rapportera säkerhetsincidenter till CERT.se. Exempelvis el-leverantörer måste kunna visa upp att de kan leverera el med it-stöd under alla möjliga pågående attacker eller andra svåra förhållanden.

EU medvetna kring sårbarheter

Grunden till NIS-direktivet är att EU är oroliga över samhällets sårbarhet i relation till it-hot. Det finns attacker som halvt lamslagit länder, bland annat Estland, och även Sverige har haft sin beskärda del av attacker men då främst mot media samt mot datanätet. Därför måste det nu börja arbetas mer proaktivt, menar Albin Zuccato.

Vi kan inte stå bredvid och titta på längre, de kritiska funktionerna vi har måste skyddas.

Albin Zuccato , nationell affärsområdeschef Säkerhet, atea

 Vi kan inte stå bredvid och titta på längre, de kritiska funktionerna vi har måste skyddas. Det finns otäcka scenarion som kan orsaka skada för människoliv. Om någon attackerar ett vattenkraftverk kan det bli kraftiga översvämningar, manipulerar man avloppen kan avföring hamna i dricksvattnet, eller sänker man nätet så kan larmfunktionerna inom sjukvården bli påverkade - och de är helt beroende av sina kommunikationsnät. Möjligheterna till allt detta finns.

Ytterligare en skillnad mot GDPR blir kanske bötesbeloppen. Albin Zuccato tror inte att bötessystemet kommer finnas i samma grad, eller i alla fall att summorna inte kommer vara lika höga. Fast det är inget som är klart utan när lagen träder i kraft kommer den definiera hur de potentiella straffen blir. Men han tror och hoppas på att de möjligen uteblivna straffbeloppen inte kommer påverka de berörda aktörernas engagemang i arbetet.

 Jag utgår ifrån att många helt enkelt kommer börja jobba aktivt med sin säkerhet när man nu får en indikation på att man måste göra det. Framförallt hoppas jag på att de lite mindre företagen som exempelvis sysslar med vattenförsörjning i en liten kommun börjar med det. Större spelare som Vattenfall och SJ ska självklart jobba de också, men de har ju förmodligen redan någorlunda skydd, medan mindre företag kanske inte har något skydd alls. Och där kan de potentiella farorna vara minst lika stora.

Rekommenderad läsning

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

soldater marscherar mot kameran med vapen i famnen på en väg i skogen.jpg

Säpo om den nya lagen

22 feb 2019 säkerhet

Den 1 april börjar den nya säkerhetsskyddslagen att gälla. Lagen kommer att ställa mer omfattande krav på företag, kommuner och myndigheter med säkerhetskänslig verksamhet. Trots det finns det fortfarande väldigt lite information hur man kan förbereda sig.

sverige-usa-cloudact.jpg

Esam om Cloud Act-kritik

12 jul 2019 säkerhet

Esam står fast vid uttalandet om att Cloud Act kan innebära sekretessproblem för svensk offentlig sektor. Efter kritik att uttalandet var fel och förhastat så menar Esam att den amerikanska lagen kan bryta mot svenska Offentlighets- och sekretesslagen och kanske även mot GDPR. 

profilen av en kvinna i profil.jpg

Böter för igenkänning

21 aug 2019 säkerhet

Det blir 200 000 kronor i böter för Anderstorpsgymnasiet i Skellefteå som har använt ansiktsigenkänning för att göra närvarokoll av elever under lektioner. Men it-strateg och tidigare rektor Tommy Lindmark säger att han inte håller med om Datainspektionens beslut.

janne-andersson2.jpg
video

En kickstart av Bootcamp

27 maj 2019 ledarskap

Med tydliga tips hur man leder ett lag till finalspel sätter förbundskaptenen Janne Andersson igång årets it-toppmöte. Integration på riktigt och mängder av konkreta exempel på digitalisering hos svenska it-avdelningar fyllde tre dagar i Tylösand. Kalle Hultenheim och Lisa Nore summerar årets Bootcamp.

fina-hus-i-gamla-stan.jpg

Underkända e-myndigheter

15 nov 2018 digit

Trafikverket och Arbetsförmedlingen är de myndigheter som har kommit längst när det gäller den digitala kontakten med medborgarna. Men överlag behöver svenska myndigheter och storstadskommuner göra en kraftansträngning för att öka den digitala mognaden.

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Dålig koll på NIS

13 feb 2019 säkerhet

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig. 

snip ledesma.JPG
video

Gävleborg säkrar upp backup-miljön

22 sep 2016 säkerhet

Region Gävleborg ska ha klart sin nya backupmiljö till årsskiftet. Bytet ska leda till en ökad trygghet både hos de som utvecklar systemen, de som jobbar med dem och de som systemen berör.

gdpr foto .jpg

5 tips hur du snabbt får koll på GDPR

6 apr 2017 säkerhet

Många är stressade inför starten av GDPR men det finns smarta metoder att ta efter. Region Västmanland är nästan klara med sitt arbete och här finns deras rekommendationer.