Del 3: NIS-direktivet – så påverkas leverantörer av digitala tjänster

NIS-direktivet är en uppsättning regler kring cybersäkerhet som utöver samhällsviktiga tjänster även berör vissa leverantörer av digitala tjänster. För de företag som omfattas av det NIS-direktivet innebär det nya krav på risk- och incidenthantering samt aktivt arbete, både organisatoriskt och tekniskt, för att förebygga incidenter.

NIS-direktivet omfattar samtliga EU-länder och trädde i kraft i Sverige i augusti 2018, bara några månader efter GDPR inträde i maj. Både privata och offentliga aktörer som tillhandahåller samhällskritiska funktioner kan komma att omfattas av den nya lagen.

En av de grupper som berörs av NIS-direktivet är leverantörer av digitala tjänster. Digitala leverantörer bedöms till skillnad från leverantörer av samhällsviktiga tjänster inte utifrån ett samhällsviktigt perspektiv, utan omfattas av direktivet automatiskt. De organisationer som räknas till digitala leverantörer är:

• Internetbaserade marknadsplatser
• Internetbaserade sökmotorer
• Molntjänster

Det finns dock vissa undantag för digitala leverantörer i Sverige. De innebär att lagen omfattar:

• Leverantörer som har sitt huvudkontor i Sverige
• Leverantörer med en årsomsättning som överstiger 10 miljoner euro
• Leverantörer med 50 eller fler anställda

Krav på säkerhetsåtgärder

Digitala leverantörer krav på att arbeta systematiskt och konsekvent för att hantera, rapportera och minimera risker och incidenter som hotar säkerheten i deras nätverk och informationssystem. Till skillnad från leverantörer av samhällsviktiga tjänster behöver däremot digitala leverantörer inte genomgå en säkerhetsanalys som lägger grunden för säkerhetsåtgärderna.

Leverantörer av digitala tjänster ska istället själva utarbeta åtgärder för att hantera risker och incidenter. I åtgärdsplanen skall följande aspekter beaktas:

• Säkerheten i system och anläggningar
• Incidenthantering
• Hantering av driftskontinuitet
• Övervakning, revision och testning
• Efterlevnad av internationella standarder

Läs mer om adekvata säkerhetsåtgärder som hjälper din organisation att efterleva NIS-direktivet här.

Bedömning av incident

Som digital leverantör är du skyldig att rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av tjänsten. Det är en nyansskillnad mot leverantörerna krav, där incidenter som ”bara” har en betydande inverkan på tillhandahållandet av tjänsten ska rapporteras.

I lagen anges ett antal faktorer som avgör hur en incident bedöms. Dessa faktorer är:

• Antal användare som påverkas av störningen av den samhällsviktiga tjänsten
• Hur länge incidenten varar
• Hur stort geografiskt område som påverkas av incidenten

Rapportering

Som digital leverantör rapporterar du till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla information som ger underlag för att CSIRT-enheten ska kunna fastställa incidentens omfattning.

Övriga delar i vår artikelserie om NIS-direktivet

• Del 1: Vad är NIS-direktivet?
• Del 2: NIS-direktivet – så påverkas leverantörer av samhällsviktiga tjänster
• Del 4: NIS-direktivet – 5 säkerhetsåtgärder för att efterleva lagen