Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS-direktivet

Den 1 augusti träder det fortfarande relativt anonyma NIS-direktivet i kraft över hela EU. Voister reder ut varför, vad NIS är, vilka som berörs och hur man efterföljer det. 

Text Fredrik Adolfsson Foto Mostphotos 15 januari 2018 Voister förklarar

flygplan-i-luften.jpg

Vad är NIS-direktivet?

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet införs i Sverige den första augusti 2018.

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför införs NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är i Ukraina där 230 000 personer blev av med elen under julen 2015, och ett annat är i Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS - som tidigare nämnt - om att skydda de kritiska samhällsfunktionerna. En annan skillnad blir förmodligen bötesbeloppen. GDPR kommer att ha höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS förutspås de inte bli lika höga. Dock är ingenting klart än, utan när lagen träder i kraft kommer det då att definieras hur höga de potentiella straffen blir. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.

Rekommenderad läsning

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

tåg 960640.jpg tåg 960640.jpg tåg 960640.jpg

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

Voister förklarar

GDPR

19 apr 2017 Voister förklarar

folk .jpg folk .jpg folk .jpg

GDPR berör oss alla. Bakom akronymen står nämligen en av de viktigaste förordningarna i Europa, inte bara för it-företag utan för alla företag som på något sätt hanterar personuppgifter.

Så klarar Kalmar Vatten NIS

30 nov 2017 säkerhet

kalmar slott.jpg kalmar slott.jpg kalmar slott.jpg

NIS-direktivet träder i kraft i maj 2018 och omfattar verksamheter inom kritisk infrastruktur. För att klara de nya kraven som det medför så har Kalmar Vatten gjort en total säkerhetscheck av hela bolaget.

Infrastruktur på liv och död

9 okt 2017 säkerhet

elverk.jpg elverk.jpg elverk.jpg

Att skydda de kritiska samhällsfunktionerna är något som hamnat lite i skymundan när det pratats om it-säkerhet, men den tiden är förbi nu. I värsta fall kan det handla om liv och död, menar Fredrik Johansson på Check Point.

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

Nollkoll på NIS

25 jun 2018 säkerhet

lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg

De nya GDPR-reglerna har fått stor uppmärksamhet. Men många företag behöver hantera ytterligare ett regelverk; NIS, Network and Information Security, där en ny lag förväntas börja gälla redan den 1 augusti i år. Om en majoritet av bolagen var väl förberedda för GDPR ser läget för NIS väldigt annorlunda ut, visar en ny undersökning.

Kommunernas öppna hål

4 jul 2018 säkerhet

lite hus i esklistuna.jpg lite hus i esklistuna.jpg lite hus i esklistuna.jpg video

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

Tyck till om NIS

5 jul 2018 säkerhet

vattenkraft-under-produktion.jpg vattenkraft-under-produktion.jpg vattenkraft-under-produktion.jpg

Regeringen beslutade nyligen att ge MSB ett flertal uppgifter kopplade till kommande NIS-reglering. Ett förslag på föreskrifter har nu skickats till utpekade remissinstanser. Men även andra organisationer och aktörer är välkomna att lämna synpunkter fram till den 4 september.

Ett samarbete mellan Veritas och Voister

Sveaskog rensar upp med Veritas

3 sep 2018 säkerhet

björnunge står på en död tall på marken i solen.jpg björnunge står på en död tall på marken i solen.jpg björnunge står på en död tall på marken i solen.jpg

Ett effektivt GDPR-arbete och mindre backup- och lagringskostnader. Det blev resultatet när Sveaskog satsade på Veritas Data Insight och Enterprise Vault. Nu har Sveaskog tagit bort drygt en tredjedel av tidigare sparad data.