Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS-direktivet

Den 10 maj träder det fortfarande relativt anonyma NIS-direktivet i kraft över hela EU. Voister reder ut varför, vad NIS är, vilka som berörs och hur man efterföljer det. 

Text Fredrik Adolfsson Foto Mostphotos 15 januari 2018 Voister förklarar

flygplan-i-luften.jpg

Vad är NIS-direktivet?

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet införs i Sverige 10 maj 2018.

Läs mer: Efter GDPR - nu kommer NIS

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför införs NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är i Ukraina där 230 000 personer blev av med elen under julen 2015, och ett annat är i Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Läs mer: Infrastruktur på liv och död

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS - som tidigare nämnt - om att skydda de kritiska samhällsfunktionerna. En annan skillnad blir förmodligen bötesbeloppen. GDPR kommer att ha höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS förutspås de inte bli lika höga. Dock är ingenting klart än, utan när lagen träder i kraft kommer det då att definieras hur höga de potentiella straffen blir. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Läs mer: Så klarar Kalmar Vatten NIS

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.

Rekommenderad läsning

Voister förklarar

GDPR

19 apr 2017 Voister förklarar

folk .jpg folk .jpg folk .jpg

GDPR berör oss alla. Bakom akronymen står nämligen en av de viktigaste förordningarna i Europa, inte bara för it-företag utan för alla företag som på något sätt hanterar personuppgifter.

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

tåg 960640.jpg tåg 960640.jpg tåg 960640.jpg

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

Infrastruktur på liv och död

9 okt 2017 säkerhet

elverk.jpg elverk.jpg elverk.jpg

Att skydda de kritiska samhällsfunktionerna är något som hamnat lite i skymundan när det pratats om it-säkerhet, men den tiden är förbi nu. I värsta fall kan det handla om liv och död, menar Fredrik Johansson på Check Point.

Så klarar Kalmar Vatten NIS

30 nov 2017 säkerhet

kalmar slott.jpg kalmar slott.jpg kalmar slott.jpg

NIS-direktivet träder i kraft i maj 2018 och omfattar verksamheter inom kritisk infrastruktur. För att klara de nya kraven som det medför så har Kalmar Vatten gjort en total säkerhetscheck av hela bolaget.

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

Voister förklarar

EMM

10 maj 2017 Voister förklarar

EMM guy .jpg EMM guy .jpg EMM guy .jpg

EMM, eller Enterprise Mobility Management som det heter, underlättar för företag och organisationers it-avdelningar och gör att användarna kan jobba säkert oavsett verktyg och plats. Så här funkar EMM.

Voister förklarar

Hybridmoln

19 apr 2017 Voister förklarar

moln.jpg moln.jpg moln.jpg

Vilken molnlösning som passar vilket företag varierar, men en lösning som allt fler väljer är hybrida moln. Så väljer du bästa mixen för ditt företag. 

Voister förklarar

Ransomware

20 jun 2017 Voister förklarar

Voister_forklarar_ransomware_960x640.jpg Voister_forklarar_ransomware_960x640.jpg Voister_forklarar_ransomware_960x640.jpg

It-säkerhet är ständigt på tapeten och ransomware är ett av de största hoten mot företagen just nu. Voister förklarar vad som skiljer dem från virus, hur du kan undvika dem och vad du gör om du blivit drabbad. 

Voister förklarar

Öppen källkod

25 jul 2017 voister förklarar

ÖppenKällkod_960x640.jpg ÖppenKällkod_960x640.jpg ÖppenKällkod_960x640.jpg

Allt oftare hör man förespråkare för öppen källkod betona hur viktig den är för både innovation och digitalisering. Vad är det som gör öppen källkod så bra? Voister förklarar argumenten.