Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS-direktivet

flygplan-i-luften.jpg

Den 1 augusti träder det fortfarande relativt anonyma NIS-direktivet i kraft över hela EU. Voister reder ut varför, vad NIS är, vilka som berörs och hur man efterföljer det. 

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet införs i Sverige den första augusti 2018.

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför införs NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är i Ukraina där 230 000 personer blev av med elen under julen 2015, och ett annat är i Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS - som tidigare nämnt - om att skydda de kritiska samhällsfunktionerna. En annan skillnad blir förmodligen bötesbeloppen. GDPR kommer att ha höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS förutspås de inte bli lika höga. Dock är ingenting klart än, utan när lagen träder i kraft kommer det då att definieras hur höga de potentiella straffen blir. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.

15 januari 2018 Uppdaterad 8 november 2018 Reporter Fredrik Adolfsson Voister förklarar Foto Mostphotos

Rekommenderad läsning

Eu Ladyjustice Schrems
Voister förklarar

Schrems II-domen

22 feb 2021 säkerhet

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

Folk Pa Stan 960640

Stort gdpr-missnöje

20 okt 2020 säkerhet

Datainspektionen tar årligen emot 3 000 klagomål om hantering av personuppgifter, vilket är en kraftig ökning. Av klagomålen avser 25 procent brister i medborgarnas rättigheter, till exempel att få registerutdrag och att personuppgifter raderas.

Kommun 960640
video
Ett samarbete mellan Fortinet och Voister

Fortinet säkrar kommunen

28 sep 2020 säkerhet

Cyberattacker mot offentlig sektor växer. Med Fortinets kommundesign kan kommuner skydda sig och samtidigt möta interna och externa krav. Det är möjligt genom segmentering, zero trust och visibilitet i hela nätverket.

piller-sjukhus.jpg

Åtta vårdgivare granskas

26 mar 2019 säkerhet

Datainspektionen inleder en granskning av åtta vårdgivare. Bland annat ska det undersökas huruvida personal endast kan komma åt de patientuppgifter som de behöver för att utföra sina uppgifter.

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Dålig koll på NIS

13 feb 2019 säkerhet

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig. 

people-cloud-960640.jpg

Forskning för säkrare moln

21 nov 2018 säkerhet

Företag använder sig ofta av molntjänster för att analysera stora mängder data, vilket kan innebära att den personliga integriteten och kontrollen över datan minskar. Nu startar ett innovationsprojekt, med bland annat Karlstads universitet och Eurecom, som ska försöka lösa problemet.

slar-in-fina-julklappar.jpg

GDPR utmanar e-handeln

15 nov 2018 säkerhet

Nordiska konsumenter blir alltmer tveksamma till hur näthandelsföretag använder persondata. Två av tre konsumenter tror att företagen delar kunduppgifterna med en tredje part och är mycket, eller ganska oroliga över hur uppgifterna används.

domarklubba-och-amerikanska-flaggan.jpg

Så påverkar Cloud Act

24 okt 2018 säkerhet

Cloud Act innebär att amerikanska myndigheter kan begära ut data från amerikanska molnleverantörer, oavsett var i världen informationen och servrarna finns. Mathias Strand, chefsjurist på Microsoft, ger sin syn på vad lagen kan betyda för Sverige.