Aktuellt inom informationssäkerhet EU:s direktiv om nätverks- och informationssäkerhet (NIS) och hur det ska genomföras i Sverige Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB
NIS - vad innebär det nya regelverket om informationssäkerhet?
Syftet med denna presentation Att ge er en teaser inför det seminarium vi har efter lunch om NIS-skyldigheterna På denna presentation ger jag en övergripande bild av NIS-direktivet och hur utredningen föreslår att direktivet ska genomföras i Sverige På seminariet går vi in mer i detalj gällande kraven på leverantörerna och avsätter tid för diskussioner
Krav på säkerhetsarbete ställs i flera olika lagtexter och föreskrifter vilka både verkar parallellt och överlappande och medför att kravbilden ser olika ut för olika aktörer Säkerhetsskydd NIS Myndighetsföreskrifter
Vad är NIS direktivet? Med NIS direktivet avses Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen Antogs i juli 2016 ska vara implementerat 10 maj 2018 Syftet är att förbättra den inre marknadens funktion. Innebär krav på medlemsstaterna vissa leverantörer av samhällsviktiga tjänster vissa leverantörer av digitala tjänster
Krav på medlemsstaterna Utöver att införa direktivets regler ska Sverige: Anta en nationell strategi Samarbeta inom EU Hantera incidenter Kunna redovisa Anta en nationell strategi för säkerhet i nätverk och informationssystem Delta i tekniskt och strategiskt samarbete Utse nationell kontaktpunkt för gränsöverskridande samarbete Inrätta en organisation för hantering av ITincidenter, CSIRT En förteckning över samhällsviktiga tjänster och leverantörer Lämna rapport över inrapporterade incidenter Varna för gränsöverskridande incidenter
Betänkandet: SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster
I betänkandet ges förslag på hur NIS ska omsättas i Sverige genom att bland annat föreslå: Hur Sverige kan uppfylla kraven på nationell nivå Förslag på lag om: Identifiering av lev av samhällsviktiga tjänster Krav på systematiskt informationssäkerhetsarbete Krav på att rapportera incidenter med betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten Hur tillsyn ska bedrivas Samt förslag på förordning om vilka myndigheter som ska göra vad
NIS-direktivet berör leverantörer av samhällsviktiga tjänster Leverantörer av samhällsviktiga tjänster finns enligt direktivet i någon av sju sektorer och definieras som en offentlig eller privat enhet: 1. som tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet 2. där tillhandahållandet av tjänsten ska vara beroende av nätverk och informationssystem samt 3. där en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. De sju sektorerna Energi Transport Bankverksamhet Finans Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur
och leverantörer av digitala tjänster Med leverantörer av digitala tjänster avses i NIS-direktivet en juridisk person som tillhandahåller en digital tjänst. Tjänsterna är följande: Internetbaserade marknadsplatser En digital tjänst som gör det möjligt för konsumenter och/eller näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare Internetbaserade sökmotorer En digital tjänst som gör det möjligt för användaren att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk eller på grundval av en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller annan inmatning och som returnerar länkar som innehåller information om det begärda innehållet Molntjänster En digital tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser Vissa leverantörer är undantagna och omfattas inte av NIS-direktivet: Mikroföretag och småföretag (under 50 anställda, under 10 miljoner Euro i omsättning) Hård- och mjukvaruföretag
De myndigheter som i betänkandet föreslås få ansvar för tillsyn inom respektive sektor är: Sektor Tillsynsmyndighet* Energi Statens energimyndighet Transport Transportstyrelsen Bankverksamhet Finansinspektionen Finansmarknadsinfrastruktur Finansinspektionen Hälso- och sjukvårdssektorn Inspektionen för vård och omsorg Leverans och distribution av dricksvatten Livsmedelsverket Digital infrastruktur Post- och telestyrelsen Digitala tjänster Digitala tjänster Post- och telestyrelsen *nuvarande förslag
Utöver vad som föreslås i betänkandet har MSB fått ett regeringsuppdrag i tre delar: Med stöd av Inspektionen för vård och omsorg, Finansinspektionen, Statens energimyndighet, Post- och telestyrelsen, Transportstyrelsen, Livsmedelsverket och andra relevanta myndigheter upprätta den förteckning som följer av artikel 5 i direktivet 2016/1148/EU, I samverkan med Post- och telestyrelsen identifiera vilka digitala tjänster enligt bilaga 3 i direktivet 2016/1148/EU som finns i Sverige Inleda förberedelseåtgärder med anledning av kravet på incidentrapportering. Samtliga 3 uppdrag ska redovisas den 15 jan 2018
Etableringen av NIS-direktivet har påbörjats och kommer att pågå till maj 2018 Juli 2016 Maj 2017 Jan 2018 Våren 2018 Maj 2018 NIS-direktivet antogs av Europaparlamentet och rådet Förslag på hur NIS-direktivet kan implementeras i Sverige (Informationssäkerhet för samhällsviktig och digitala tjänster SOU 2017:36) Förtydligande av: - Samhällsviktiga tjänster - Digitala tjänster - Incidentrapportering Förslag på lag och förordning Förslag på föreskrifter på remiss Medlemsstaterna ska anta nödvändiga bestämmelser i lagar och andra författningar 9 maj Bestämmelser ska börja tillämpas 10 maj
Kom till seminariet i eftermiddag kl 13:15-14:30 Tack! christoffer.karsberg@msb.se