NIS-direktivet: Nya skyldigheter för leverantörer av samhällsviktiga tjänster

Den 1 november släppte MSB nya föreskrifter gällande leverantörer av samhällsviktiga tjänsters anmälningsplikt och informationssäkerhetsarbete. Det är organisationens eget ansvar att undersöka om den omfattas av kraven eller inte.

Det europeiska direktivet NIS trädde i kraft den 1 augusti 2018 och berör utvalda aktörer inom både offentlig och privat sektor. Nu har MSB släppt nya föreskrifter gällande anmälan och identifiering av leverantörer av samhällsviktiga tjänster samt föreskrifter om informationssäkerhet rörande samma aktörer.

Anmälan och identifiering

Det är leverantörernas ansvar att själva undersöka om de omfattas av NIS-direktivet. De nya föreskrifterna är till för att hjälpa dessa organisationer att fastställa huruvida de uppfyller kriterierna eller inte. De aktörer som uppfyller kraven och räknas till leverantörer av samhällsviktiga tjänster är skyldiga att anmäla sig till respektive tillsynsmyndighet inom sektorerna:

• Energi
• Transport
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Digital infrastruktur

Informationssäkerhet

Utöver föreskrifterna om anmälan och identifiering har MSB även släppt föreskrifter kring hur leverantörer av samhällsviktiga tjänster ska bedriva sitt informationssäkerhetsarbete. Enligt föreskrifterna ska detta arbete ske systematiskt och riskbaserat. De innehåller även rekommendationer för hur detta på bästa sätt kan uppnås.

MSB har tidigare rekommenderat etablerade standarder för informationssäkerhet, däribland ISO 27000-serien, som är en bra grund för att sätta in lämpliga säkerhetsåtgärder.