Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS-direktivet

Den 1 augusti träder det fortfarande relativt anonyma NIS-direktivet i kraft över hela EU. Voister reder ut varför, vad NIS är, vilka som berörs och hur man efterföljer det. 

Text Fredrik Adolfsson Foto Mostphotos 15 januari 2018 Voister förklarar

flygplan-i-luften.jpg

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet införs i Sverige den första augusti 2018.

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför införs NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är i Ukraina där 230 000 personer blev av med elen under julen 2015, och ett annat är i Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS - som tidigare nämnt - om att skydda de kritiska samhällsfunktionerna. En annan skillnad blir förmodligen bötesbeloppen. GDPR kommer att ha höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS förutspås de inte bli lika höga. Dock är ingenting klart än, utan när lagen träder i kraft kommer det då att definieras hur höga de potentiella straffen blir. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.

Rekommenderad läsning

Voister förklarar

GDPR

19 apr 2017 Voister förklarar

folk .jpg folk .jpg folk .jpg

GDPR berör oss alla. Bakom akronymen står nämligen en av de viktigaste förordningarna i Europa, inte bara för it-företag utan för alla företag som på något sätt hanterar personuppgifter.

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

tåg 960640.jpg tåg 960640.jpg tåg 960640.jpg

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

Nollkoll på NIS

25 jun 2018 säkerhet

lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg

De nya GDPR-reglerna har fått stor uppmärksamhet. Men många företag behöver hantera ytterligare ett regelverk; NIS, Network and Information Security, där en ny lag förväntas börja gälla redan den 1 augusti i år. Om en majoritet av bolagen var väl förberedda för GDPR ser läget för NIS väldigt annorlunda ut, visar en ny undersökning.

Så påverkar Cloud Act

24 okt 2018 säkerhet

domarklubba-och-amerikanska-flaggan.jpg domarklubba-och-amerikanska-flaggan.jpg domarklubba-och-amerikanska-flaggan.jpg

Cloud Act innebär att amerikanska myndigheter kan begära ut data från amerikanska molnleverantörer, oavsett var i världen informationen och servrarna finns. Mathias Strand, chefsjurist på Microsoft, ger sin syn på vad lagen kan betyda för Sverige.

Kommunernas öppna hål

4 jul 2018 säkerhet

lite hus i esklistuna.jpg lite hus i esklistuna.jpg lite hus i esklistuna.jpg video

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

Så lyfter GDPR affären

6 feb 2018 säkerhet

två män i blåa kläder studerar ett stort kugghjul.jpg två män i blåa kläder studerar ett stort kugghjul.jpg två män i blåa kläder studerar ett stort kugghjul.jpg

Caroline Olstedt Carlström är en av Sveriges främsta dataskyddsexperter som under tiden på Klarna snabbt insåg möjligheterna med en god datahantering. För Caroline är GDPR ytterligare en möjlighet att skapa ordning på allt.

Mer pengar till NIS

2 maj 2018 säkerhet

sveriges riksdag (2).jpg sveriges riksdag (2).jpg sveriges riksdag (2).jpg

Regeringen vill öka anslaget till Myndigheten för samhällsskydd och beredskap, MSB, i sin vårändringsbudget med sju miljoner kronor i syfte att underlätta genomförandet av NIS-direktiven.

GDPR stor konkurrensfördel

11 maj 2018 säkerhet

bilverkstad-med-mycket-att-gora.jpg bilverkstad-med-mycket-att-gora.jpg bilverkstad-med-mycket-att-gora.jpg

Med bara ett fåtal veckor kvar till 25 maj när GDPR, EU:s nya dataskyddsförordning, träder i kraft finns det gott om tips för hur småföretagare ska förbereda sig. Nu lyfter branschorganisationen Företagarna affärsnyttan i ett gott GDPR-arbete.

GDPR och vad händer nu?

25 maj 2018 säkerhet

collagegdprNY.jpg collagegdprNY.jpg collagegdprNY.jpg

Nu träder den nya dataskyddsförordningen i kraft och det innebär fortsatt hårt arbete. Det menar de tre experterna Daniel Akenine, Caroline Olstedt Carlström och Johan Wahlström som också tipsar hur arbetet kan fortsätta.