NIS-direktivet

Vet ni hur det påverkar
er organisation?
Översikt

Vi hjälper er att följa NIS-direktivet

2018 är kanske det tyngst lastade året i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga skydda information och integritet. Senaste i raden av lagar är NIS-direktivet som trädde i kraft den 1 augusti 2018.

Direktivet syftar till att uppnå en hög säkerhetsnivå i nätverk och informationssystem inom hela EU, till skillnad från GDPR som är dedikerat för personuppgifter. Det innebär att utvalda leverantörer av samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster behöver vidta säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. De områden som omfattas av direktivet är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

För privata aktörer handlar NIS-direktivet främst om rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, exempelvis ISO 27000, för hantering av risker relaterade till just nätverk. För offentliga aktörer, däribland Sveriges samtliga myndigheter, ska samtliga IT-tjänsteavtal även inkludera krav på att tjänsteleverantören upprätthåller incidentrapportering av samma karaktär som myndigheterna själva.

Ekonomiska konsekvenser

Gällande vite gör varje EU-nation sin egen översättning till lämplig lokal lag, vilket innebär att konsekvenserna kommer se annorlunda ut i olika länder. Organisationer bestraffas i det medlemsland som de har sitt huvudsakliga säte. Det innebär för organisationer med säte i Sverige att de kan drabbas av ett maximalt vite på 10 miljoner SEK vid en lagöverträdelse.

I andra länder är dock konsekvenserna väsentligt större. I Storbritannien till exempel, har man trots det pågående EU-utträdet, valt att tillämpa direktivet och där kan organisationer bestraffas med upp till 17 miljoner pund eller 4 procent av den årliga koncernomsättningen i böter.

Efterlevnad

Så kan vi hjälpa er att efterleva NIS-direktivet

NIS-direktivet syftar till att leverantörer av samhällsviktiga tjänster ska arbeta med riskbaserad säkerhet. Rent praktiskt innebär det bland annat krav på både rapporteringsskyldigheter vid incidenter samt att kontinuerligt arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk. Även säkerhetsanalyser och efterföljande åtgärdsplaner ska dokumenteras och följas upp årligen. Sentor erbjuder en rad tjänster som är direkt kopplade till NIS-direktivets krav:

Säkerhet i system och anläggningar

Ett grundläggande krav NIS-direktivet ställer är att etablera och upprätthålla en hög säkerhetsnivå i både system och fysiska anläggningar. Så kallade pentester (penetrationstester) hjälper både till att förebygga incidenter genom att hitta säkerhetsbristerna innan någon annan gör det, men de lägger även grunden för nödvändiga säkerhetsanalyser. Våra pentestare letar efter sårbarheter i nätverk och applikationer, men även på fysiska anläggningar vid behov. Vi utvecklar ständigt våra verktyg, metoder och processer för att möta nya krav, så som NIS-direktivet. Genom att låta era system och applikationer pentestas kan ni även påvisa att ni arbetar med proaktiva åtgärder, som direktivet uttryckligen efterfrågar.

Penetrationstest

Övervakning och incidenthantering

För att efterleva den säkerhetsnivå NIS-direktivet kräver är ständig övervakning av verksamhetskritiska nät en viktig förutsättning. Många organisationer har svårt att utföra uppgiften internt, eftersom det både är resurskrävande och kostsamt att bedriva 24/7-övervakning. Sentors managerade säkerhetstjänster SIEM och Intrusion Detection levereras av ett team med skarpa säkerhetsanalytiker som kontinuerligt övervakar, analyserar och hanterar aktiviteter samt incidenter 365 dagar om året, 24 timmar om dygnet.

SIEMIntrusion detection

Efterlevnad av internationella standarder

ISO 27000 är en internationellt erkänd standard och ett av ramverken som accepteras av NIS-direktivet. Genom att tillämpa standarden kan ni på ett bättre sätt både identifiera risker och införa lämpliga kontroller för att minska dessa. Sentor erbjuder hjälp för er som vill komma igång eller befinner er i arbetet mot att certifieras eller att nå compliance enligt ISO 27000.

ISO 27000

Vill du veta mer om hur vi kan hjälpa er följa NIS-direktivet? Lämna din e-postadress så hör vi av oss!

Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse och dessa kommer lagras tills dess att affärsrelationen upphört. För mer information om hur Sentor hanterar personuppgifter, läs vår integritetspolicy.

Prenumerera på nyhetsbrevet

Som prenumerant på nyhetsbrevet får du ta del av nyheter, guider och utbildande innehåll ungefär 1-2 gånger i månaden.


Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse. Du kan när som helst återkalla ditt samtycke och avsluta prenumerationen. För mer information, läs vår integritetspolicy.

Whitepapers

Sentor har tagit fram flera whitepapers som berör informationssäkerhet och compliance.

NIS-direktivet
GDPR och outsourcing
ISO 27001
Mer läsning!

Case studies

Vi har två kundcase där kunderna beskriver om sina utmaningar och hur Sentor har varit hjälp.

GDPR - Insplanet
ISO 27001 - TeamEngine
Mer läsning!

Debattinlägg i Sydsvenskan

Svenska organisationer måste ta ansvar för sin säkerhet. Det krävs inte minst nu när NIS-direktivet börjar gälla i EU, skriver Krister Hedfors.
Läs mer! (extern länk)

Vill du komma i kontakt med oss?