Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS-direktivet

Den 1 augusti träder det fortfarande relativt anonyma NIS-direktivet i kraft över hela EU. Voister reder ut varför, vad NIS är, vilka som berörs och hur man efterföljer det. 

Text Fredrik Adolfsson Foto Mostphotos 15 januari 2018 Voister förklarar

flygplan-i-luften.jpg

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet införs i Sverige den första augusti 2018.

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför införs NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är i Ukraina där 230 000 personer blev av med elen under julen 2015, och ett annat är i Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS - som tidigare nämnt - om att skydda de kritiska samhällsfunktionerna. En annan skillnad blir förmodligen bötesbeloppen. GDPR kommer att ha höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS förutspås de inte bli lika höga. Dock är ingenting klart än, utan när lagen träder i kraft kommer det då att definieras hur höga de potentiella straffen blir. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.

Rekommenderad läsning

folk .jpg
video
Voister förklarar

GDPR

19 apr 2017 Voister förklarar

GDPR berör oss alla. Bakom akronymen står nämligen en av de viktigaste förordningarna i Europa, inte bara för it-företag utan för alla företag som på något sätt hanterar personuppgifter.

lastbil-pa-vag-fran-hamnen.jpg

Nollkoll på NIS

25 jun 2018 säkerhet

De nya GDPR-reglerna har fått stor uppmärksamhet. Men många företag behöver hantera ytterligare ett regelverk; NIS, Network and Information Security, där en ny lag förväntas börja gälla redan den 1 augusti i år. Om en majoritet av bolagen var väl förberedda för GDPR ser läget för NIS väldigt annorlunda ut, visar en ny undersökning.

domarklubba-och-amerikanska-flaggan.jpg

Så påverkar Cloud Act

24 okt 2018 säkerhet

Cloud Act innebär att amerikanska myndigheter kan begära ut data från amerikanska molnleverantörer, oavsett var i världen informationen och servrarna finns. Mathias Strand, chefsjurist på Microsoft, ger sin syn på vad lagen kan betyda för Sverige.

lite hus i esklistuna.jpg
video

Kommunernas öppna hål

4 jul 2018 säkerhet

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

lakare-med-patient.jpg

Ris och ros i GDPR-granskning

24 okt 2018 säkerhet

För första gången sedan GDPR infördes den 25 maj i år har Datainspektionen sett över hur den viktiga artikel 37 efterlevs bland svenska företag och myndigheter. Resultaten visar att det finns en del att jobba på, inte minst bland teleoperatörerna.

people-gdpr-960640.jpg

Nu granskas GDPR

19 okt 2018 säkerhet

Datainspektionen startar flera större granskningar kring hur GDPR efterföljs. En av dem rör samtycke som rättslig grund för att samla in och använda personuppgifter.

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

kalmar slott.jpg

Så klarar Kalmar Vatten NIS

30 nov 2017 säkerhet

NIS-direktivet träder i kraft i maj 2018 och omfattar verksamheter inom kritisk infrastruktur. För att klara de nya kraven som det medför så har Kalmar Vatten gjort en total säkerhetscheck av hela bolaget.

elverk.jpg

Infrastruktur på liv och död

9 okt 2017 säkerhet

Att skydda de kritiska samhällsfunktionerna är något som hamnat lite i skymundan när det pratats om it-säkerhet, men den tiden är förbi nu. I värsta fall kan det handla om liv och död, menar Fredrik Johansson på Check Point.