Utredningen om genomförande av NIS-direktivet

Transkript

1

2 Informationssäkerhet för samhällsviktiga och digitala tjänster SOU 2017:36

3 NIS-direktivet NIS-direktivet är ett av EU beslutat direktiv som ska genomföras i svensk rätt senast den 9 maj 2018 Säkerhet i Nätverk och Informationssystem (NIS) Syftet: Att uppnå en hög gemensam nivå av säkerhet i nätverk och informationssystem för att förbättra den inre marknadens funktion

4 Genomförande i svensk rätt Ny lag om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster Ny förordning om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster Myndighetsföreskrifter Genomförandeakter

5 Annan likartad reglering Personuppgiftsreglering Sveriges säkerhet, brottsbekämpning Statliga myndigheters skyldighet att incidentrapportera

6 Reglerna gäller för leverantörer av samhällsviktiga tjänster inom sju olika sektorer Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur

7 Reglerna gäller också för leverantörer av digitala tjänster Internetbaserad marknadsplats Internetbaserad sökmotor Molntjänster

8 Undantag Verksamhet av betydelse för Sveriges säkerhet Elektronisk kommunikation Betrodda tjänster (t.ex. elektronisk identifiering) Lex specialis (bankverksamhet, finansmarknadsinfrastruktur)

9 Det ställs olika krav på leverantörer av samhällsviktiga tjänster och på leverantörer av digitala tjänster

10 Leverantör av samhällsviktig tjänst Tillhandahåller en tjänst som viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet tillhandhållandet av tjänsten är beroende av nätverk och informationssystem en incident skulle medföra en betydande störning av tillhandahållandet av tjänsten (art och omfattning)

11 Krav på leverantörer av samhällsviktiga tjänster Vidta tekniska och organisatoriska åtgärder Systematiskt informationssäkerhetsarbete Riskanalys Rapportera incidenter med betydande inverkan på kontinuiteten i tjänsten

12 Leverantörer av digitala tjänster Behöver inte vara samhällsviktiga Vidta tekniska och organisatoriska åtgärder Rapportera incidenter med avsevärd inverkan på tillhandahållandet av tjänsten

13 Föreslagna tillsynsmyndigheter Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Digitala tjänster Statens energimyndighet Transportstyrelsen Finansinspektionen Finansinspektionen Insp för vård och omsorg Livsmedelsverket Post- och telestyrelsen Post- och telestyrelsen

14 Tillsynmyndighetens uppgifter Utöva tillsyn över att regelverket följs digitala tjänster bara i efterhand Meddela föreskrifter Besluta om förelägganden vid vite och sanktioner (även mot myndigheter) Vägledning och stöd till leverantörerna

15 Myndigheten för samhällsskydd och beredskap Upprätta förteckning över samhällsviktiga tjänster Nationell kontaktpunkt CSIRT-enhet (mottagare av incidentrapporter) Ingå i samarbetsgrupp på EU-nivå Leda samarbetsforum för tillsynsmyndigheterna på nationell nivå

16 Incidentrapportering Incidenter som har betydande/avsevärd inverkan Utan onödigt dröjsmål Till CSIRT-enheten vid MSB Nationella kontaktpunkten/csirt-enheten (MSB) vidarerapporterar till EU MSB vidarebefordrar till berörd tillsynsmyndighet

17 Sanktioner Tillsynsmyndigheten beslutar Även mot myndigheter Om säkerhetsåtgärder inte vidtagits eller incidenter inte rapporterats Kan jämkas eller efterges Kan överklagas

18 Sekretess Befintliga regler om sekretess är tillräckliga för att tillgodose skyddet för de uppgifter som kan komma att lämnas inom ramen för incidentrapporteringen.