NIS-DIREKTIVET, ÖKADE KRAV PÅ ORGANISATIONER PÅ ATT HANTERA INFORMATION SÄKERT. DET HÄR SKA DU GÖRA 

Kraven på organisationer ökar ständigt i vårt allt mer digitaliserade samhälle.  

Sedan 2018 har vi fått en ny lag, NIS-Direktivet, som tvingar organisationer med samhällsviktig verksamhet samt dess underleverantörer att arbeta systematiskt med informationssäkerhet.  

Från 1 mars 2019 utökas NIS-Direktivets krav ytterligare med obligatorisk incidentrapportering inom 24 timmar. Direktivet har införts för att göra ett digitaliserat samhälle mer robust mot störningar. 

NIS-DIREKTIVET 

NIS-direktivet beslutades av EU i juli 2016. NIS betyder Network Information System.  

Varför NIS är viktigt är har flera orsaker. Samhällets allt mer omfattande digitalisering, vilket kan medföra stora risker för människor, globaliseringen och de mer omfattande attackerna mot IT-system. Dessa attacker skapar inte bara ekonomiska konsekvenser och påverkan på organisationens varumärke, utan kan även leda till olyckor och till och med dödsfall. Ett av många scenarios är ett vattenverk som hackas av terrorister som resulterar i giftigt kranvatten.  

Fokus för NIS är informationssäkerhet inom samhällsviktiga organisationer samt vissa digitala tjänster. Sedan april 2016 måste alla myndigheter arbeta systematiskt med informationssäkerhet och rapportera IT-incidenter till MSB. Med NIS-direktivet omfattas betydligt fler organisationer av dessa krav. Dessa organisationer finns inom följande områden, med ansvarig tillsynsmyndighet inom parantes.  

  • Energi (Statens energimyndighet)  
  • Transport (Transportstyrelsen)  
  • Bankverksamhet (Finansinspektionen)  
  • Finansmarknadsinfrastruktur (Finansinspektionen)  
  • Hälso- och sjukvårdssektorn (Inspektionen för vård och omsorg)  
  • Leverans och distribution av dricksvatten (Livsmedelsverket)  
  • Digital infrastruktur (Post- och telestyrelsen)  
  • Digitala tjänster (Post- och telestyrelsen)  

I Sverige är det lag ”(2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster” med tillhörande förordning som reglerar området. Lagen trädde ikraft den 1 augusti 2018.  

OMFATTAS DU AV DENNA LAG?  

  1. Identifiera om din organisation är berörd. Kriterierna är:

För leverantörer av samhällsviktiga tjänster:  

  • Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet  
  • Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem  
  • En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.  

För leverantörer av digitala tjänster:  

  • Har sitt huvudkontor i Sverige  
  • Har en årsomsättning som överstiger 10 miljoner euro  
  • Har 50 eller fler anställda  
  1. Om du är berörd så ska du anmäla att din organisation ska följa NIS
  2. Implementera ett systematiskt informationssäkerhetsarbete. Underskatta inte omfattningen av denna arbetsuppgift om ni inte redan uppfyller detta krav! Metodstöd finns på MSB:s webbplats, informationssäkerhet.se. Om ni vill ta detta ett steg längre så kan ni certifiera er organisation mot ISO 27001.
  3. Som en del av det systematiska informationssäkerhetsarbetet ska ni också rapportera in IT-incidenter. Detta kan göras redan idag, men blir obligatoriskt från den 1 mars 2019.

ANDRA LAGAR SOM PÅVERKAR DIN ORGANISATION 

GDPR började gälla för samtliga organisationer i EU/EES den 25:e maj 2018. Efter en otrolig hype under våren har rapporteringen kring lagen minskat. Vi har haft en hel del sanktioner främst i olika länder i Europa på både små och stora organisationer. Under våren väntas resultat på de första tillsynsärenden som svenska Datainspektionen hanterat.  

DIGITALISERING MEDFÖR ÖKANDE KRAV PÅ SÄKER INFORMATION 

Det blir allt viktigare för många organisationer att ha kontroll på den information som skapas och delas ut. Att lagar som GDPR kommer nu är ett tydligt tecken i tiden att all information går mot att bli helt digital och att det krävs att samhället och alla organisationer anpassar sig till att hantera även riskerna med att hantera digital information som att data försvinner, hackas eller delges till fel personer.  

En växande trend inom upphandlingar att ställa krav hur information hanteras t. ex. genom krav på ISO27 001 certifiering eller liknande. Ett krav som fanns redan enligt Personuppgiftslagen (PUL), men blev kraftfullare enligt GDPR var att samtliga överföringar av personuppgifter mellan bolag skall regleras via avtal, ett så kallat personuppgiftbiträdesavtal.  

VAD  KAN DU GÖRA 

Även om du inte omfattas av NIS-Direktivet ovan är det en god idé att arbeta strukturerat med sina informationstillgångar. Ett första steg kan vara att se över vilken information som man har i bolaget. GDPR kräver att du ska skapa ett register över personuppgiftsbehandlingar. Med detta är mycket vunnet. Dokumera har många mallar och checklistor för hur du skall komma igång med arbetet för att hantera dina informationstillgångar korrekt.  

Andra sätt att visa på hur man arbetar kan vara att certifiera sig tex mot ISO27 001 eller att arbeta enligt godkända uppförandekoder tex inom GDPR.  

Vill du läsa mer kan rekommenderar vi följande länkar: 

  • Läs mer om NIS-direktivet på xxxxx.  Där kan du även boka utbildning för att fördjupa din kunskap 
  • Läs mer om uppförandekoder för GDPR på uppförandekoder.se 
  • Börja ditt arbete med att använda mallarna och checklistorna på DokuMera under Informationssäkerhet.