NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Relevanta dokument
Svensk författningssamling

Utredningen om genomförande av NIS-direktivet

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Informationssäkerhet för samhällsviktiga och digitala tjänster

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

- Vad du behöver veta om NIS

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Svensk författningssamling

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-reglering.

Myndigheten för samhällsskydd och beredskaps författningssamling

Samhällets funktionalitet nuläge och utmaningar

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Myndigheten för samhällsskydd och beredskaps författningssamling

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Verksamhetsplan Informationssäkerhet

Tillägg om Zervants behandling av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhet för samhällsviktiga och digitala tjänster

GDPR. General Data Protection Regulation

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Gräns för utkontraktering av skyddsvärd information

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Programmet för säkerhet i industriella informations- och styrsystem

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Information om dataskyddsförordningen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn efter inträffad integritetsincident i fakturasystem

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Personuppgiftsbiträdesavtal

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

GDPR- Seminarium 2017

Riktlinjer för dataskydd

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Utvärdering och förebyggande åtgärder

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

INFORMATIONSSÄKERHET OCH DATASKYDD

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Dataskyddsförordningen

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

WHITE PAPER. Dataskyddsförordningen

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

PERSONUPPGIFTSBITRÄDESAVTAL

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Ett eller flera dataskyddsombud?

(5)

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Avbrott i bredbandstelefonitjänst

Bilaga - Personuppgiftsbiträdesavtal

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Systematiskt arbete med skydd av samhällsviktig verksamhet

Policy för behandling av personuppgifter

Policy för informations- säkerhet och personuppgiftshantering

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Koncernkontoret Enheten för säkerhet och intern miljöledning

Kungsbacka Kommun. Rapport: Granskning av IT-säkerhet. Juni Max Wann-Hansson. Jesper Ehrner Vilhelmsson. Hardik Patel

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

2018:7. Tillsyn enligt NIS-direktivet kostnader och finansiering

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Dataskyddsförordningen GDPR

Finansinspektionens författningssamling

Informationssäkerhetspolicy

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Digitalisering en möjlighet om vi når säkerhet

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Informationssäkerhetspolicy KS/2018:260

Tillsyn över säkerhetsarbete hos underleverantör

Bilaga Från standard till komponent

Transkript:

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Det ökade användandet av digitala tjänster och produkter har lett till att EU för första gången har avtalat om en uppsättning regler kring cybersäkerhet, det så kallade NIS-direktivet. Till skillnad från den nya dataskyddsförordningen, GDPR, handlar NIS-direktivet inte om personuppgifter, utan syftar till att uppnå en hög säkerhetsnivå i samhällskritiska nätverk och informationssystem. NIS-direktivet omfattar samtliga EU-länder och trädde i kraft i Sverige i augusti 2018, kort efter GDPR som trädde i kraft i maj. 2018 är kanske det tyngst lastade året i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda information och integritet, både inom privat och offentlig sektor. Vilka omfattas av NIS-direktivet? NIS-direktivet är dedikerat för att säkerställa en hög informationssäkerhetsstandard i samhällsviktiga och digitala tjänster. I praktiken innebär det att direktivet omfattar: - Utvalda myndigheter, så kallade tillsynsmyndigheter - Utvalda leverantörer av samhällsviktiga tjänster, så kallade nyckelaktörer - Vissa leverantörer av digitala tjänster Dessa företag och organisationer kommer påverkas av NIS-direktivet i olika utsträckning, både i form av skyldigheter och säkerhetsåtgärder. I detta whitepaper som är baserat på rådande lagförslag kommer du kunna läsa om hur just kan påverkas, vilka potentiella konsekvenser den står inför samt rekommendationer på adekvata lösningar.

Nyckelaktörer Privata aktörer som tillhandahåller samhällskritiska funktioner kan komma att omfattas av NIS-direktivet. Dessa företag och organisationer kallas i lagförslaget för nyckelaktörer. Varje EU-nation gör sitt urval av nyckelaktörer från åtta sektorer som täcker in det mesta inom samhällskritisk infrastruktur, däribland; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vilka aktörer som utses till nyckelaktörer inom respektive område kommer beslutas av de så kallade tillsynsmyndigheterna. Urvalet ska tillkännages senast 6 månader efter att direktivet har trätt i kraft. Krav på säkerhetsåtgärder För nyckelaktörer handlar NIS-direktivet både om risk- och incidenthantering samt krav på att aktivt arbeta, både organisatoriskt och tekniskt, för att förebygga incidenter i de nätverk och informationssystem som är nödvändiga för att tillhandahålla samhällsviktiga tjänster. I praktiken innebär det krav på att låta utföra årliga riskanalyser, rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, till exempel ISO 27000. Som nyckelaktör är det din skyldighet att kunna presentera bevis för att dessa säkerhetsprinciper genomförs kontinuerligt med nödvändig frekvens. Bedömning av incident Vilka typer av incidenter som ska rapporteras skiljer sig mellan olika typer av aktörer. Nyckelaktörer ska rapportera incidenter som har en betydande negativ inverkan på leveransen och kontinuiteten i samhällsviktiga tjänster och produkter. Om en incident är av betydande karaktär bedöms utifrån följande aspekter: - Antal användare som är beroende av den tjänst som den berörda enheten tillhandahåller. - Hur beroende andra sektorer är av den tjänst som den drabbade enheten tillhandahåller. - Vilken inverkan incidenten skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet, uttryckt i grad och varaktighet. - Den drabbade enhetens marknadsandel. - Hur stort geografiskt område som kan ha påverkats av incidenten. - Den drabbade enhetens betydelse för upprätthållandet av en tillräcklig tjänstenivå, med beaktande av tillgången till alternativa sätt för att tillhandahålla tjänsten. Rapportering Som nyckelaktör rapporterar du till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla tillräckligt mycket information för att ge CSIRT-enheten underlag för att kunna fastställa incidentens omfattning.

Digitala leverantörer Utöver nyckelaktörer omfattas även leverantörer av digitala tjänster av NIS-direktivet. Digitala leverantören bedöms till skillnad mot nyckelaktörer inte utifrån ett samhällsviktigt perspektiv, utan omfattas av direktivet automatiskt. De organisationer som räknas till digitala leverantörer är: - Internetbaserade marknadsplatser - Internetbaserade sökmotorer - Molntjänster Krav på säkerhetsåtgärder Precis som nyckelaktörerna har digitala leverantörer krav på att arbeta systematiskt och konsekvent för att hantera, rapportera och minimera risker och incidenter som hotar säkerheten i deras nätverk och informationssystem. Till skillnad från nyckelaktörerna behöver däremot digitala leverantörer inte genomgå en säkerhetsanalys som lägger grunden för säkerhetsåtgärderna. Leverantörer av digitala tjänster ska istället själva utarbeta åtgärder för att hantera risker och incidenter. I åtgärdsplanen skall följande aspekter beaktas: - Säkerheten i system och anläggningar - Incidenthantering - Hantering av driftskontinuitet - Övervakning, revision och testning - Efterlevnad av internationella standarder Bedömning av incident Som digital leverantör är du skyldig att rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av tjänsten. Det är en nyansskillnad mot nyckelaktörernas krav, där incidenter som bara har en betydande inverkan på tillhandahållandet av tjänsten ska rapporteras. I lagen anges ett antal faktorer som avgör hur en incident bedöms. Dessa faktorer är: - Antal användare som påverkas av störningen av den samhällsviktiga tjänsten - Hur länge incidenten varar - Hur stort geografiskt område som påverkas av incidenten. Rapportering Som digital leverantör rapporterar du precis som nyckelaktörerna till CSIRT-enheten vid myndigheten för samhällsskydd och beredskap, MSB. Rapporten ska ske utan onödigt dröjsmål och ska innehålla information som ger underlag för att CSIRT-enheten ska kunna fastställa incidentens omfattning.

Tillsynsmyndigheter För att göra NIS-direktivet verksamt har sex myndigheter utsetts, som emellan sig kommer ansvara för samtliga åtta sektorer. De kallas i lagförslaget för Tillsynsmyndigheter och har i uppgift att se till att nyckelaktörer och digitala leverantörer i respektive sektor följer direktivets överenskomna säkerhetsbestämmelser. Sektor Energi Transporter Bankverksamhet Hälsa- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Digitala tjänster Tillsynsmyndighet Statens energimyndighet Transportstyrelsen Finansinspektionen Inspektionen om vård och omsorg Livsmedelsverket Post- och telestyrelsen Post- och telestyrelsen Varje sektor är i sin tur nedbruten i delområden (läs bilaga 2). Uppgifter Utöver att övervaka huruvida direktivet följs har tillsynsmyndigheterna även i uppgift att upprätta föreskrifter av säkerhetsåtgärder och sedan meddela dessa till berörda aktörer. Det är även tillsynsmyndigheten som beslutar om sanktioner och påföljder vid brott eller överträdelse. Rapportering De rapporter som kommer in till MSB granskas och skickas vid behov sedan vidare till berörd tillsynsmyndighet som sedan beslutar hur ärendet ska tas vidare. Tillsynsmyndigheten har med andra ord inga rapporteringsskyldigheter till MSB, utan är istället mottagare av rapporter.

Rapporteringsflöde 1. Nyckelaktör (NA) + Digital leverantör (DL) Nyckelaktörer rapporterar incidenter som har en betydande negativ inverkan på leveransen av den samhällskritiska tjänsten, medan Digitala leverantörer rapporterar incidenter som har avsevärd negativ inverkan. Båda rapporterar till CSIRT-enheten vid MSB utan onödigt dröjsmål. 2. CSIRT-enheten (MSB) CSIRT-enheten tar emot rapporter från nyckelaktörer och digitala leverantörer, granskar dem och skickar vidare till berörd tillsynsmyndighet vid behov. 3. Tillsynsmyndighet (TM) Tillsynsmyndigheten granskar rapporter från CSIRT-enheten och beslutar om sanktioner och påföljder vid brott eller överträdelse.

Sekretess Alla genererade incidentrapporter kommer till slut att landa hos MSB som offentliga handlingar. Det är inte förrän handlingen begärs ut från myndigheten som en sekretessprövning sker och då endast för det efterfrågade materialet. Även om en incidentrapport beläggs med sekretess finns dock inga garantier för att rapporten inte delas mellan myndigheter. Det finns nämligen ett flertal inte bara giltiga utan tvingande skäl att bryta sekretessen med det tydligt uttryckta syftet att incidentinformation skall delas i kommunikation mellan myndigheter. Slutligen finns även Generalklausulen som kan ge ytterligare skäl att häva sekretessen. Som nyckelaktör eller som leverantör av digitala tjänster får man med andra ord räkna med att information överlämnad till myndighet med anledning av NIS-direktivet kommer spridas vidare inom myndighetsvärlden. Konsekvenser vid överträdelse Gällande vite gör varje EU-nation sin egen översättning till lämplig lokal lag, vilket innebär att konsekvenserna kommer se annorlunda ut i olika länder. I Sverige innebär ett maximalt vite för brott eller överträdelser mot NISdirektivet 10 MSEK. Avgiftens storlek avgörs av den berörda tillsynsmyndigheten med hänsyn till vilken skada eller risk överträdelsen har medfört, samt vilka kostnader leverantören har undvikit genom att undgå direktivet. Eftersom lagen gäller i hela EU riskerar dock de organisationer som är verksamma i fler av unionens länder att behöva betala böter även i dessa. Det betyder att den maximala boten på 10 MSEK gäller för de företag som endast har svenska kunder. Exempelvis har Storbritannien, trots sitt planerade utträde ur EU, ett pågående arbete med att anta NIS-direktivet med samma bötesbelopp som för GDPR, alltså upp till 20M EUR eller 4 % av den årliga koncernomsättningen. Indirekta kostnader Utöver böter leder säkerhetsincidenter nästan alltid till andra indirekta kostnader. Dels i form av de konsekvenser ett skadat varumärke kan orsaka, så som förlorade affärer och samarbeten samt negativ inverkan på aktiekursen och därmed även företagets värde. Leder incidenterna dessutom till rättsliga processer kan även juridiska kostnader tillkomma. Vid haveri kan infrastrukturella kostnader tillkomma i form av återuppbyggnad av system och nätverk. Har incidenten dessutom lett till produktionsstopp kan det förstås påverka vinsten. Ett exempel är rederijätten Maersk som tidigare i år förlorade över 200 miljoner dollar när deras verksamhet sattes ur bruk till följd av en cyberattack de varken kunde detektera eller värja sig mot. Organisatoriska konsekvenser Mer omfattande säkerhetsincidenter kan även leda till organisatoriska konsekvenser där ansvarig personal riskerar sina positioner. Ett aktuellt exempel är IT-skandalen på Transportstyrelsen där generaldirektören tillsammans med minst en annan ur ledningen fick lämna sina tjänster till följd av händelserna. Det kan även göra det svårare att behålla och rekrytera ny personal till företaget.

Så efterlever NIS-direktivet För att möta NIS-direktivens krav måste alla organisationer som omfattas ägna sig åt konsekvent och riskbaserat IT-säkerhetsarbete. För att kunna skapa bra förutsättningar för efterlevnad finns en rad adekvata säkerhetsaktiviteter som bör vidtas som stödjer arbetet mot compliance. Inventering av system, integrationer och data För att kunna avgöra vilka processer måste genomgå behöver du först och främst vara medveten om vilka system, integrationer och data din IT-miljö innehåller. Genom att göra en kartläggning av dessa kan du få en överskådlig blick av din IT-miljö som lägger grunden för ditt fortsatta arbete med att göra en riskanalys. Kartläggningen är även viktig för att kunna bedöma incidentens omfattning utifrån de kriterier som ställs, till exempel antal drabbade användare, system och geografiska områden. Riskanalys Det finns många skäl till varför företag eller organisationer borde genomföra riskanalyser på regelbunden basis, men de företag som omfattas av NIS-direktivet är skyldiga att göra det. Målet med riskanalysen är att identifiera specifika sårbarheter som verksamheten kan tänkas ha samt vilka hot och risker som verksamheten står inför. Analysen, som ska dokumenteras och uppdateras årligen, ska även innehålla en åtgärdsplan. Ett effektivt sätt att bedöma risker är att testa sina digitala och fysiska miljöer med hjälp av så kallade pentester (penetrationstester). Genom att låta ett team av experter penetrationstesta dina system och/eller fysiska anläggningar kan du identifiera säkerhetsbrister innan någon obehörig gör det och därmed minska incidentrisken. Riskanalysen lägger även grunden för vilka säkerhetsåtgärder behöver vidta. Incidenthantering NIS-direktivet ställer uttalade krav på att alla organisationer som omfattas ska ha en väl genomarbetad incidenthanteringsplan med tydliga incident- och rapporteringsrutiner. Den bör bland annat innefatta hur en incident bedöms och klassificeras, hur den ska hanteras och vidare rapporteras. Nätverksövervakning För att kunna hantera och rapportera incidenter måste du först och främst upptäcka dem. Genom övervakning av trafik och beteendemönster i verksamhetskritiska nät och systemloggar kan man snabbt identifiera avvikelser och i bästa fall hinna åtgärda dem redan innan de hinner klassas som incidenter. För att underlätta arbetet finns managerade tjänster som sköter övervakningen av dina nätverk dygnet runt. Internationella standarder Genom att använda internationella standarder och ramverk som innefattar flera av ovanstående aktiviteter och processer kan du på ett effektivt säkerställa att stora delar av din IT-miljö är rustade för NIS-direktivet. Ett av de accepterade internationella ramverken är ISO 27000 som bland annat innefattar kartläggning, riskanalys, kontinuitetshantering och leveranshantering. Blir du ISO-compliant täcker du med andra ord in flera av kraven NISdirektivet ställer på din verksamhet.

Har ni fler frågor om NIS-direktivet? Sentor hjälper såväl stora som små bolag att efterleva rådande förordningar och direktiv kopplade till IT-säkerhet. Har ni frågor om hur vi kan hjälpa er att efterleva NIS-direktivet är det bara att kontakta oss. Skicka ett mail till eller ring oss på. Mer information om NIS-direktivet och andra regulatoriska krav hittar ni på sentor.se.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss