NIS-direktivet

Vet ni hur det påverkar
er organisation?
Översikt

Vi hjälper er att följa NIS-direktivet

NIS-direktivet träder i kraft i Maj 2018, strax före GDPR, den nya dataskyddsförordningen. Maj 2018 – eller Regulation May ­– är således den kanske tyngst lastade månaden i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda sin information och integritet, både inom privat och offentlig sektor.

Direktivet syftar till att uppnå en hög säkerhetsnivå i nätverk och informationssystem inom hela EU, till skillnad från GDPR som är dedikerat för personuppgifter. Det innebär att utvalda leverantörer av samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster behöver vidta säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. De områden som omfattas av direktivet är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

För privata aktörer handlar NIS-direktivet främst om rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, exempelvis ISO 27000, för hantering av risker relaterade till just nätverk. För offentliga aktörer, däribland Sveriges samtliga myndigheter, ska samtliga IT-tjänsteavtal även inkludera krav på att tjänsteleverantören upprätthåller incidentrapportering av samma karaktär som myndigheterna själva.

Ekonomiska konsekvenser

Gällande vite gör varje EU-nation sin egen översättning till lämplig lokal lag, vilket innebär en maximal företagsbot på 10 MSEK i Sverige. Avgiftens storlek avgörs med hänsyn till vilken skada eller risk överträdelsen har medfört, samt vilka kostnader leverantören har undvikit genom att undgå direktivet. Är organisationen dessutom verksam i andra EU-länder riskerar den böter även i dessa.

Utöver de direkta kostnaderna bör man alltid ha i åtanke vad överträdelser kan leda till även på längre sikt i form av avslutade avtal, skadat rykte och förlorade framtida affärer.

Efterlevnad

Så kan vi hjälpa er att efterleva NIS-direktivet

NIS-direktivet syftar till att leverantörer av samhällsviktiga tjänster ska arbeta med riskbaserad säkerhet. Rent praktiskt innebär det bland annat krav på både rapporteringsskyldigheter vid incidenter samt att kontinuerligt arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk. Även säkerhetsanalyser och efterföljande åtgärdsplaner ska dokumenteras och följas upp årligen. Sentor erbjuder en rad tjänster som är direkt kopplade till NIS-direktivets krav:

Säkerhet i system och anläggningar

Ett grundläggande krav NIS-direktivet ställer är att etablera och upprätthålla en hög säkerhetsnivå i både system och fysiska anläggningar. Så kallade pentester (penetrationstester) hjälper både till att förebygga incidenter genom att hitta säkerhetsbristerna innan någon annan gör det, men de lägger även grunden för nödvändiga säkerhetsanalyser. Våra pentestare letar efter sårbarheter i nätverk och applikationer, men även på fysiska anläggningar vid behov. Vi utvecklar ständigt våra verktyg, metoder och processer för att möta nya krav, så som NIS-direktivet. Genom att låta era system och applikationer pentestas kan ni även påvisa att ni arbetar med proaktiva åtgärder, som direktivet uttryckligen efterfrågar.

Penetrationstest

Övervakning och incidenthantering

För att efterleva den säkerhetsnivå NIS-direktivet kräver är ständig övervakning av verksamhetskritiska nät en viktig förutsättning. Många organisationer har svårt att utföra uppgiften internt, eftersom det både är resurskrävande och kostsamt att bedriva 24/7-övervakning. Sentors managerade säkerhetstjänster SIEM och Intrusion Detection levereras av ett team med skarpa säkerhetsanalytiker som kontinuerligt övervakar, analyserar och hanterar aktiviteter samt incidenter 365 dagar om året, 24 timmar om dygnet.

SIEMIntrusion detection

Efterlevnad av internationella standarder

ISO 27000 är en internationellt erkänd standard och ett av ramverken som accepteras av NIS-direktivet. Genom att tillämpa standarden kan ni på ett bättre sätt både identifiera risker och införa lämpliga kontroller för att minska dessa. Sentor erbjuder hjälp för er som vill komma igång eller befinner er i arbetet mot att certifieras eller att nå compliance enligt ISO 27000.

ISO 27000

Vill du veta mer om hur vi kan hjälpa er följa NIS-direktivet? Lämna din e-postadress så hör vi av oss!

Whitepaper: Så förbereder ni er inför GDPR

Den nya dataskyddslagen (GDPR) innebär skärpta krav kring hur personlig information hanteras. Läs vad lagen innebär och hur ni kan förbereda er.
Läs mer!

Whitepaper: GDPR och outsourcing

Det finns många frågor kring outsourcing och vad som gäller enligt GDPR. Vem bär ansvaret och vilka krav ska ställas på leverantörerna? Ta del av vad som gäller!
Läs mer!

Whitepaper: En introduktion till ISO 27001

Vill ni veta hur ni kan komma igång och arbeta mer strukturerat med informationssäkerhet? Ta en titt på ISO 27001!
Läs mer!

Whitepaper: NIS-direktivet

NIS-direktivet är avsett att säkerställa en hög informationssäkerhetsstandard i samhällsviktiga och digitala tjänster. Läs om hur ni påverkas!
Läs mer!

Anmäl dig till vårt nyhetsbrev

Vill du hålla dig uppdaterad inom IT- och informationssäkerhet? Anmäl dig till vårt nyhetsbrev här!
Anmäl dig!

Vill du komma i kontakt med oss?