NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Transkript

1 NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

2 Det ökade användandet av digitala tjänster och produkter har lett till att EU för första gången har avtalat om en uppsättning regler kring cybersäkerhet, det så kallade NIS-direktivet. Till skillnad från den nya dataskyddsförordningen, GDPR, handlar NIS-direktivet inte om personuppgifter, utan syftar till att uppnå en hög säkerhetsnivå i samhällskritiska nätverk och informationssystem. NIS-direktivet omfattar samtliga EU-länder och trädde i kraft i Sverige i augusti 2018, kort efter GDPR som trädde i kraft i maj är kanske det tyngst lastade året i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda information och integritet, både inom privat och offentlig sektor. Vilka omfattas av NIS-direktivet? NIS-direktivet är dedikerat för att säkerställa en hög informationssäkerhetsstandard i samhällsviktiga och digitala tjänster. I praktiken innebär det att direktivet omfattar: - Utvalda myndigheter, så kallade tillsynsmyndigheter - Utvalda leverantörer av samhällsviktiga tjänster, så kallade nyckelaktörer - Vissa leverantörer av digitala tjänster Dessa företag och organisationer kommer påverkas av NIS-direktivet i olika utsträckning, både i form av skyldigheter och säkerhetsåtgärder. I detta whitepaper som är baserat på rådande lagförslag kommer du kunna läsa om hur just kan påverkas, vilka potentiella konsekvenser den står inför samt rekommendationer på adekvata lösningar.

3 Nyckelaktörer Privata aktörer som tillhandahåller samhällskritiska funktioner kan komma att omfattas av NIS-direktivet. Dessa företag och organisationer kallas i lagförslaget för nyckelaktörer. Varje EU-nation gör sitt urval av nyckelaktörer från åtta sektorer som täcker in det mesta inom samhällskritisk infrastruktur, däribland; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vilka aktörer som utses till nyckelaktörer inom respektive område kommer beslutas av de så kallade tillsynsmyndigheterna. Urvalet ska tillkännages senast 6 månader efter att direktivet har trätt i kraft. Krav på säkerhetsåtgärder För nyckelaktörer handlar NIS-direktivet både om risk- och incidenthantering samt krav på att aktivt arbeta, både organisatoriskt och tekniskt, för att förebygga incidenter i de nätverk och informationssystem som är nödvändiga för att tillhandahålla samhällsviktiga tjänster. I praktiken innebär det krav på att låta utföra årliga riskanalyser, rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, till exempel ISO Som nyckelaktör är det din skyldighet att kunna presentera bevis för att dessa säkerhetsprinciper genomförs kontinuerligt med nödvändig frekvens. Bedömning av incident Vilka typer av incidenter som ska rapporteras skiljer sig mellan olika typer av aktörer. Nyckelaktörer ska rapportera incidenter som har en betydande negativ inverkan på leveransen och kontinuiteten i samhällsviktiga tjänster och produkter. Om en incident är av betydande karaktär bedöms utifrån följande aspekter: - Antal användare som är beroende av den tjänst som den berörda enheten tillhandahåller. - Hur beroende andra sektorer är av den tjänst som den drabbade enheten tillhandahåller. - Vilken inverkan incidenten skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet. - Den drabbade enhetens marknadsandel. - Hur stort geografiskt område som kan ha påverkats av incidenten. - Den drabbade enhetens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med beaktande av tillgången till alternativa sätt för att tillhandahålla tjänsten. Rapportering Som nyckelaktör rapporterar du till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla tillräckligt mycket information för att ge CSIRT-enheten underlag för att kunna fastställa incidentens omfattning.

4 Digitala leverantörer Utöver nyckelaktörer omfattas även leverantörer av digitala tjänster av NIS-direktivet. Digitala leverantören bedöms till skillnad mot nyckelaktörer inte utifrån ett samhällsviktigt perspektiv, utan omfattas av direktivet automatiskt. De organisationer som räknas till digitala leverantörer är: - Internetbaserade marknadsplatser - Internetbaserade sökmotorer - Molntjänster Krav på säkerhetsåtgärder Precis som nyckelaktörerna har digitala leverantörer krav på att arbeta systematiskt och konsekvent för att hantera, rapportera och minimera risker och incidenter som hotar säkerheten i deras nätverk och informationssystem. Till skillnad från nyckelaktörerna behöver däremot digitala leverantörer inte genomgå en säkerhetsanalys som lägger grunden för säkerhetsåtgärderna. Leverantörer av digitala tjänster ska istället själva utarbeta åtgärder för att hantera risker och incidenter. I åtgärdsplanen skall följande aspekter beaktas: - Säkerheten i system och anläggningar - Incidenthantering - Hantering av driftskontinuitet - Övervakning, revision och testning - Efterlevnad av internationella standarder Bedömning av incident Som digital leverantör är du skyldig att rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av tjänsten. Det är en nyansskillnad mot nyckelaktörernas krav, där incidenter som bara har en betydande inverkan på tillhandahållandet av tjänsten ska rapporteras. I lagen anges ett antal faktorer som avgör hur en incident bedöms. Dessa faktorer är: - Antal användare som påverkas av störningen av den samhällsviktiga tjänsten - Hur länge incidenten varar - Hur stort geografiskt område som påverkas av incidenten. Rapportering Som digital leverantör rapporterar du precis som nyckelaktörerna till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla information som ger underlag för att CSIRT-enheten ska kunna fastställa incidentens omfattning.

5 Tillsynsmyndigheter För att göra NIS-direktivet verksamt har sex myndigheter utsetts, som emellan sig kommer ansvara för samtliga åtta sektorer. De kallas i lagförslaget för Tillsynsmyndigheter och har i uppgift att se till att nyckelaktörer och digitala leverantörer i respektive sektor följer direktivets överenskomna säkerhetsbestämmelser. Sektor Energi Transporter Bankverksamhet Hälsa- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Digitala tjänster Tillsynsmyndighet Statens energimyndighet Transportstyrelsen Finansinspektionen Inspektionen om vård och omsorg Livsmedelsverket Post- och telestyrelsen Post- och telestyrelsen Varje sektor är i sin tur nedbruten i delområden (läs bilaga 2). Uppgifter Utöver att övervaka huruvida direktivet följs har tillsynsmyndigheterna även i uppgift att upprätta föreskrifter av säkerhetsåtgärder och sedan meddela dessa till berörda aktörer. Det är även tillsynsmyndigheten som beslutar om sanktioner och påföljder vid brott eller överträdelse. Rapportering De rapporter som kommer in till MSB granskas och skickas vid behov sedan vidare till berörd tillsynsmyndighet som sedan beslutar hur ärendet ska tas vidare. Tillsynsmyndigheten har med andra ord inga rapporteringsskyldigheter till MSB, utan är istället mottagare av rapporter.

6 Rapporteringsflöde 1. Nyckelaktör (NA) + Digital leverantör (DL) Nyckelaktörer rapporterar incidenter som har en betydande negativ inverkan på leveransen av den samhällskritiska tjänsten, medan Digitala leverantörer rapporterar incidenter som har avsevärd negativ inverkan. Båda rapporterar till CSIRT-enheten vid MSB utan onödigt dröjsmål. 2. CSIRT-enheten (MSB) CSIRT-enheten tar emot rapporter från nyckelaktörer och digitala leverantörer, granskar dem och skickar vidare till berörd tillsynsmyndighet vid behov. 3. Tillsynsmyndighet (TM) Tillsynsmyndigheten granskar rapporter från CSIRT-enheten och beslutar om sanktioner och påföljder vid brott eller överträdelse.

7 Sekretess Alla genererade incidentrapporter kommer till slut att landa hos MSB som offentliga handlingar. Det är inte förrän handlingen begärs ut från myndigheten som en sekretessprövning sker och då endast för det efterfrågade materialet. Även om en incidentrapport beläggs med sekretess finns dock inga garantier för att rapporten inte delas mellan myndigheter. Det finns nämligen ett flertal inte bara giltiga utan tvingande skäl att bryta sekretessen med det tydligt uttryckta syftet att incidentinformation skall delas i kommunikation mellan myndigheter. Slutligen finns även Generalklausulen som kan ge ytterligare skäl att häva sekretessen. Som nyckelaktör eller som leverantör av digitala tjänster får man med andra ord räkna med att information överlämnad till myndighet med anledning av NIS-direktivet kommer spridas vidare inom myndighetsvärlden. Konsekvenser vid överträdelse Gällande vite gör varje EU-nation sin egen översättning till lämplig lokal lag, vilket innebär att konsekvenserna kommer se annorlunda ut i olika länder. I Sverige innebär ett maximalt vite för brott eller överträdelser mot NISdirektivet 10 MSEK. Avgiftens storlek avgörs av den berörda tillsynsmyndigheten med hänsyn till vilken skada eller risk överträdelsen har medfört, samt vilka kostnader leverantören har undvikit genom att undgå direktivet. Eftersom lagen gäller i hela EU riskerar dock de organisationer som är verksamma i fler av unionens länder att behöva betala böter även i dessa. Det betyder att den maximala boten på 10 MSEK gäller för de företag som endast har svenska kunder. Exempelvis har Storbritannien, trots sitt planerade utträde ur EU, ett pågående arbete med att anta NIS-direktivet med samma bötesbelopp som för GDPR, alltså upp till 20M EUR eller 4 % av den årliga koncernomsättningen. Indirekta kostnader Utöver böter leder säkerhetsincidenter nästan alltid till andra indirekta kostnader. Dels i form av de konsekvenser ett skadat varumärke kan orsaka, så som förlorade affärer och samarbeten samt negativ inverkan på aktiekursen och därmed även företagets värde. Leder incidenterna dessutom till rättsliga processer kan även juridiska kostnader tillkomma. Vid haveri kan infrastrukturella kostnader tillkomma i form av återuppbyggnad av system och nätverk. Har incidenten dessutom lett till produktionsstopp kan det förstås påverka vinsten. Ett exempel är rederijätten Maersk som tidigare i år förlorade över 200 miljoner dollar när deras verksamhet sattes ur bruk till följd av en cyberattack de varken kunde detektera eller värja sig mot. Organisatoriska konsekvenser Mer omfattande säkerhetsincidenter kan även leda till organisatoriska konsekvenser där ansvarig personal riskerar sina positioner. Ett aktuellt exempel är IT-skandalen på Transportstyrelsen där generaldirektören tillsammans med minst en annan ur ledningen fick lämna sina tjänster till följd av händelserna. Det kan även göra det svårare att behålla och rekrytera ny personal till företaget.

8 Så efterlever NIS-direktivet För att möta NIS-direktivens krav måste alla organisationer som omfattas ägna sig åt konsekvent och riskbaserat IT-säkerhetsarbete. För att kunna skapa bra förutsättningar för efterlevnad finns en rad adekvata säkerhetsaktiviteter som bör vidtas som stödjer arbetet mot compliance. Inventering av system, integrationer och data För att kunna avgöra vilka processer måste genomgå behöver du först och främst vara medveten om vilka system, integrationer och data din IT-miljö innehåller. Genom att göra en kartläggning av dessa kan du få en överskådlig blick av din IT-miljö som lägger grunden för ditt fortsatta arbete med att göra en riskanalys. Kartläggningen är även viktig för att kunna bedöma incidentens omfattning utifrån de kriterier som ställs, till exempel antal drabbade användare, system och geografiska områden. Riskanalys Det finns många skäl till varför företag eller organisationer borde genomföra riskanalyser på regelbunden basis, men de företag som omfattas av NIS-direktivet är skyldiga att göra det. Målet med riskanalysen är att identifiera specifika sårbarheter som verksamheten kan tänkas ha samt vilka hot och risker som verksamheten står inför. Analysen, som ska dokumenteras och uppdateras årligen, ska även innehålla en åtgärdsplan. Ett effektivt sätt att bedöma risker är att testa sina digitala och fysiska miljöer med hjälp av så kallade pentester (penetrationstester). Genom att låta ett team av experter penetrationstesta dina system och/eller fysiska anläggningar kan du identifiera säkerhetsbrister innan någon obehörig gör det och därmed minska incidentrisken. Riskanalysen lägger även grunden för vilka säkerhetsåtgärder behöver vidta. Incidenthantering NIS-direktivet ställer uttalade krav på att alla organisationer som omfattas ska ha en väl genomarbetad incidenthanteringsplan med tydliga incident- och rapporteringsrutiner. Den bör bland annat innefatta hur en incident bedöms och klassificeras, hur den ska hanteras och vidare rapporteras. Nätverksövervakning För att kunna hantera och rapportera incidenter måste du först och främst upptäcka dem. Genom övervakning av trafik och beteendemönster i verksamhetskritiska nät och systemloggar kan man snabbt identifiera avvikelser och i bästa fall hinna åtgärda dem redan innan de hinner klassas som incidenter. För att underlätta arbetet finns managerade tjänster som sköter övervakningen av dina nätverk dygnet runt. Internationella standarder Genom att använda internationella standarder och ramverk som innefattar flera av ovanstående aktiviteter och processer kan du på ett effektivt säkerställa att stora delar av din IT-miljö är rustade för NIS-direktivet. Ett av de accepterade internationella ramverken är ISO som bland annat innefattar kartläggning, riskanalys, kontinuitetshantering och leveranshantering. Blir du ISO-compliant täcker du med andra ord in flera av kraven NISdirektivet ställer på din verksamhet.

9 Har ni fler frågor om NIS-direktivet? Sentor hjälper såväl stora som små bolag att efterleva rådande förordningar och direktiv kopplade till IT-säkerhet. Har ni frågor om hur vi kan hjälpa er att efterleva NIS-direktivet är det bara att kontakta oss. Skicka ett mail till eller ring oss på. Mer information om NIS-direktivet och andra regulatoriska krav hittar ni på sentor.se.