NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Transkript

1 NIS-direktivet 4 september 2017 Johanna Linder Martin Gynnerstedt

2 NIS-direktivet Directive concerning the measures for a high common level of security of network and information systems across the union

3 Lagförslag Informationssäkerhet för samhällsviktiga och digitala tjänster SOU 2017:36

4 Tidplan Direktivet beslutades 6 juli 2016 SOU kom april 2017, remiss tom 15 augusti Ny lag ska börja gälla 10 maj 2018 Ny lag 10 maj 2018

5 Vad handlar direktivet/lagförslaget om? Vem träffas av regelverket?

6 Direktivet syftar till att förbättra cybersäkerheten i samhället

7 Vem träffas av regelverket Leverantörer av: samhällsviktiga tjänster digitala tjänster

8 Samhällsviktig tjänst En tjänst som är viktig för att upprätthålla en kritisk samhällelig eller ekonomisk verksamhet, tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och en incident skulle medföra en betydande störning av tillhandahållandet av tjänsten

9 Samhällsviktig tjänst Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn Leverans och distribution av dricksvatten Digital infrastruktur

10 Samhällsviktig tjänst Undantag för: Åtgärder till skydd för nationell säkerhet Sektorsspecifik reglering eidas (E-ID) Integritetsdirektivet (telekom) ECI-direktivet (kritiskt infrastruktur)

11 Samhällsviktig tjänst Du är ansvarig för att bedöma om du tillhandahåller en samhällsviktig tjänst Kommer vidare vägledning om: vilka tjänster som är samhällsviktiga tjänster och eventuellt om vilka faktorer som ska beaktas, t.ex. vad som innefattas i en betydande störning

12 Digitala tjänster Internetbaserad marknadsplats Internetbaserad sökmotor Molntjänst Undantag för: Micro/småföretag (< 50 anställda och 10 MEURO) Hård/mjukvarutillverkare

13 Krav och Skyldigheter Säkerhetsåtgärder Incidentrapportering

14 Säkerhetsåtgärder samhällsviktiga tjänster Leverantörer av samhällsviktiga tjänster ska: Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete Vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen för att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken Vidta lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverk och informationssystem i syfte att säkerställa kontinuiteten i dessa tjänster Göra en riskanalys och åtgärdsplan som ska dokumenteras och uppdateras årligen

15 Säkerhetsåtgärder digitala tjänster Leverantörer av digitala tjänster ska: Vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen för att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. Säkerheten i system och anläggningar, 2. Incidenthantering, 3. Hantering av driftskontinuitet, 4. Övervakning, revision och testning och 5. Efterlevnad av internationella standarder Vidta åtgärder för att förebygga och minimera den inverkan som incidenter har

16 Incidentrapportering samhällsviktiga tjänster Leverantörer av samhällsviktiga tjänster ska: Utan onödigt dröjsmål rapportera incidenter som har betydande inverkan på kontinuiteten av tjänsten till CSIRT-enheten Huruvida betydande inverkan föreligger ska bedömas utifrån: 1. Antal användare som påverkas 2. Hur länge incidenten varar 3. Geografiskt område som påverkas

17 Incidentrapportering digitala tjänster Leverantörer av digitala tjänster ska: Utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten till CSIRT-enheten Huruvida avsevärd inverkan föreligger ska bedömas utifrån: 1. Hur länge incidenten varar 2. Geografiskt område som påverkas 3. I vilken omfattning incidenten stör tjänstens funktion 4. I vilken utsträckning incidenten inverkar på den ekonomiska och samhälleliga verksamheten Om det är lämpligt får CSIRT-enheten begära att allmänheten informeras

18 Vad händer om man gör fel?

19 Tillsyn Flera olika tillsynsmyndigheter med långtgående befogenheter Kan begära rättelse kombinerat med vite Kan besluta om sanktionsavgift till kr

20 Likheter med GDPR

21 Likheter och skillnader Likheter Krav att preventiva säkerhetsåtgärder ska vidtas Krav på utredning/dokumentation avseende säkerhet Skillnader GDPR rör endast personuppgifter GDPR rör alla och inte endast vissa aktörer/branscher Krav på incidentrapportering till myndighet och till allmänhet

22 Avslutande ord

23 Att ta med sig 1. Du är ansvarig för att bedöma om din verksamhet träffas av NIS-lagen 2. Vilka förberedelser behöver jag vidta/vad görs idag avseende säkerhetsåtgärder/dokumentation etc.? 3. Överväg om det är möjligt att samordna GDPR-arbete med NIS-arbete, t.ex. avseende riskbedömningar, dokumentation samt implementering av rutiner och säkerhetsåtgärder

24 Kontaktpersoner Johanna Linder E-post: Telefonnummer: Martin Gynnerstedt E-post: Telefonnummer:

25 LAW HANDMADE CEDERQUIST.SE