Compliance • Artikel
29 mars, 2021
Del 2: NIS-direktivet - så påverkas leverantörer av samhällsviktiga tjänster
NIS-direktivet är en uppsättning regler kring cybersäkerhet dedikerat mot företag och organisationer som tillhandahåller samhällskritiska tjänster och funktioner. Lagen innebär helt nya krav på risk- och incidenthantering samt aktivt arbete, både organisatoriskt och tekniskt, för att förebygga incidenter.
NIS-direktivet är en uppsättning regler kring cybersäkerhet dedikerat mot företag och organisationer som tillhandahåller samhällskritiska tjänster och funktioner. Lagen innebär helt nya krav på risk- och incidenthantering samt aktivt arbete, både organisatoriskt och tekniskt, för att förebygga incidenter.
NIS-direktivet omfattar samtliga EU-länder och trädde i kraft i Sverige i augusti 2018, bara några månader efter att GDPR trädde i kraft i maj. Både privata och offentliga aktörer som tillhandahåller samhällskritiska funktioner kan komma att omfattas av den nya lagen. Dessa företag och organisationer går under benämningen leverantörer av samhällsviktiga tjänster och kan vara både statliga myndigheter, kommuner, landsting och privata företag.
Vilka aktörer som utses till nyckelaktörer
Varje EU-nation gör sitt urval av leverantörer från sju sektorer som tillsammans täcker in det mesta inom samhällskritisk infrastruktur:
- Energi
- Transport
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Digital infrastruktur
För att göra NIS-direktivet verksamt har sex myndigheter utsetts, som emellan sig kommer ansvara för samtliga sju sektorer. De kallas i lagförslaget för tillsynsmyndigheter och har i uppgift att se till att leverantörer av både samhällsviktiga tjänster och digitala tjänster i respektive sektor följer direktivets överenskomna säkerhetsbestämmelser.
| Sektor | Tillsynsmyndighet |
|---|---|
| Energi | Statens energimyndighet |
| Transporter | Transportstyrelsen |
| Bankverksamhet | Finansinspektionen |
| Hälsa- och sjukvård | Inspektionen för vård och omsorg |
| Leverans och distribution av dricksvatten | Livsmedelsverket |
| Digital infrastruktur | Post- och telestyrelsen |
| Digitala tjänster | Post- och telestyrelsen |
Krav på säkerhetsåtgärder
För leverantörer av samhällsviktiga tjänster handlar NIS-direktivet både om risk- och incidenthantering samt krav på att aktivt arbeta, både organisatoriskt och tekniskt, för att förebygga incidenter i de nätverk och informationssystem som är nödvändiga för att tillhandahålla samhällsviktiga tjänster.
I praktiken innebär det krav på att låta utföra årliga riskanalyser, rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, till exempel ISO 27000. Som leverantör av samhällsviktiga tjänster är det din skyldighet att kunna presentera bevis för att dessa säkerhetsprinciper genomförs kontinuerligt med nödvändig frekvens.
Läs mer om adekvata säkerhetsåtgärder som hjälper din organisation att efterleva NIS-direktivet här.
Bedömning av incident
Vilka typer av incidenter som ska rapporteras skiljer sig mellan olika typer av aktörer. Leverantörer av samhällsviktiga tjänster ska rapportera incidenter som har en betydande negativ inverkan på leveransen och kontinuiteten i samhällsviktiga tjänster och produkter.
Om en incident är av betydande karaktär bedöms utifrån följande aspekter:
- Antal användare som är beroende av den tjänst som den berörda enheten tillhandahåller
- Hur beroende andra sektorer är av den tjänst som den drabbade enheten tillhandahåller
- Vilken inverkan incidenten skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet
- Den drabbade enhetens marknadsandel
- Hur stort geografiskt område som kan ha påverkats av incidenten
- Den drabbade enhetens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med beaktande av tillgången till alternativa sätt för att tillhandahålla tjänsten
Rapportering
Som leverantör av samhällsviktiga tjänster rapporterar du till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla tillräckligt mycket information för att ge CSIRT-enheten underlag för att kunna fastställa incidentens omfattning.
Övriga delar i vår artikelserie om NIS-direktivet
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentor.se
Använd vår PGP-nyckel