NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Relevanta dokument
- Vad du behöver veta om NIS

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Utredningen om genomförande av NIS-direktivet

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Svensk författningssamling

NIS-reglering.

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Informationssäkerhet för samhällsviktiga och digitala tjänster

Samhällets funktionalitet nuläge och utmaningar

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Svensk författningssamling

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Elektromagnetiska hot

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Nya krav på systematiskt informationssäkerhets arbete

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Verksamhetsplan Informationssäkerhet

Regelrådets ställningstagande. Innehållet i förslaget. Myndigheten för samhällsskydd och beredskap

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Välkommen till enkäten!

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Programmet för säkerhet i industriella informations- och styrsystem

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

Gräns för utkontraktering av skyddsvärd information

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Informationssäkerhet för samhällsviktiga och digitala tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Policy för informationssäkerhet

Preliminär elmarknadsstatistik per månad för Sverige 2014

Svensk författningssamling

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Hur värnar kommuner digital säkerhet?

Nationell risk- och förmågebedömning 2017

2018:7. Tillsyn enligt NIS-direktivet kostnader och finansiering

MSB för ett säkrare samhälle i en föränderlig värld

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Svensk författningssamling

Informationssäkerhetspolicy

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy KS/2018:260

Bilaga Från standard till komponent

Justitiedepartementet Stockholm

2016, Arbetslösa samt arbetslösa i program i GR i åldrarna år

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Preliminär elmarknadsstatistik per månad för Sverige 2014

Strategi för förstärkningsresurser

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy inom Stockholms läns landsting

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Lägesbild av dagens totalförsvar och den återupptagna totalförsvarsplaneringen. Öv. Mats Klintäng, Försvarsmakten Magnus Dyberg-Ek, MSB

MSB för ett säkrare samhälle i en föränderlig värld

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

MSB:s vision. Ett säkrare samhälle i en föränderlig värld

Kontinuitetshantering i samhällsviktig verksamhet

Försvarsdepartementet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Tillsyn NIS via självskattning

Policy för informations- säkerhet och personuppgiftshantering

E-legitimering och e-underskrift Johan Bålman esam

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Stora pågående arbeten

Preliminär elmarknadsstatistik per månad för Sverige 2013

Svensk författningssamling

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

Aktörsgemensam CBRNE-strategi. Gemensamt arbetssätt för ständiga förbättringar

Förordning (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn

Säker digital utveckling i kommuner. Välfärdskonferens 2018

Perspektiv på totalförsvaret Underlag till workshop den 7 december 2016

Digitalisering en möjlighet om vi når säkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

RS ansvar som vårdgivare

Nationell strategi för skydd av samhällsviktig verksamhet

Stärkt privat-offentlig samverkan på informations- och cybersäkerhetsområdet

Skydd av samhällsviktig verksamhet

Finansinspektionens författningssamling

Transkript:

NIS-direktivet Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster Jan-olof.olsson@msb.se

Varför vi behövs?!

Vi ska bidra till samhällets förmåga att Förbygga händelser Så att aktörerna bättre kan: bedriva brand- och olycksförebyggande arbete ha kontinuitet i samhällsviktig verksamhet hantera farliga ämnen hantera information säkert Hantera händelser Så att aktörerna bättre kan: genomföra räddningsinsatser agera samordnat vid händelser stödja Försvarsmakten vid höjd beredskap

Robust försörjning och skydd av samhällsviktiga funktioner är centralt för befolkningens överlevnad och för att vårt samhälle ska fungera Nationell säkerhetsstrategi, Regeringskansliet januari 2017 Med krisberedskapen som grund kan förmågan att hantera samhällsstörningar över hela hotskalan utvecklas. Gemensamma grunder (grundsyn) för en sammanhängande planering för totalförsvaret. MSB och FM juni 2016

NIS-direktivet EU-direktiv som ställer krav på säkerhet i nätverk och informationssystem i hela unionen. EU-direktiv behöver genomföras i svensk lag för att börja gälla i Sverige. Genomförandeprocessen pågår.

Varför behövs NIS-direktivet?

Digitalisering och säkerhetsarbete i otakt

20 landsting, varav 13 har regionstatus Ca. 1,6 miljarder påstigningar i kollektivtrafiken Vi behöver upprätthålla det uppkopplade samhällets funktionalitet Källor: SKL, SCB, Trafikanalys, Socialstyrelsen, IIS, Elskling.se, Energiföretagen, Hitta.se, Riksbanken, PTS, Svenskt vatten, Nordicom, Myndigheten för radio och tv 290 kommuner 442 myndigheter, varav 238 statliga förvaltningsmyndigheter 4 militärregioner 7 polisregioner 45 flygplatser som möjliggör ca 367 000 landningar med ca. 36 miljoner passagerare 35 högskolor och universitet Ca 1200 vårdcentraler och ca 90 sjukhus till ca 4 miljoner patienter och ca 13 miljoner vårdbesök Ca. 1,58 miljoner.se-domäner 1 200 106 företag, 50% med minst 10 anställda använder molntjänster Ca 2400 finansbolag, 3 miljarder kortköp Ca 140 elnätbolag som möjliggör svenskarnas elförbrukning om 15MWh per invånare och år 164 dagstidningar, 340 minuter mediekonsumtion per person och dag Ca 1750 vattenverk som förser varje invånare med 160 liter vatten per dygn, motsvarande ~587 miljarder liter per år Ca 600 teleoperatörer som bl.a. tillhandahåller 13,5 miljoner internetabonnemang och 14,6 miljoner mobila teletjänster

Övergripande syftet med NIS-direktivet Nätverks- och informationssystem spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion.

Lag, förordning och föreskrifter Lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) Förordning om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1175) MSB:s föreskrifter (november 2018) Eventuella sektorsspecifika föreskrifter från tillsynsmyndigheterna och Socialstyrelsen

När börjar de nya reglerna gälla? MSB-föreskrifter på remiss (29 juni) Ny lag beslutades av riksdagen (13 jun) Föreskrifter incidentrapportering beslutas (18 dec) EU-kommissionen beslutade om genomförandeförordning (30 jan) Regeringen beslutade om proposition till ny lag (29 mar) NIS-direktivet började gälla i EU (9 maj) Regeringen beslutade om förordning (20 jun) Ny lag och förordning trädde i kraft (1 aug) MSB-förskrifter identifiering och informationssäkerhet träder i kraft (1 nov) MSB-förskrifter identifiering och informationssäkerhet beslutas (23 okt) Föreskrifter incidentrapportering träder i kraft (1 mar) jan feb mar apr maj jun jul aug sep okt nov dec jan feb mar 2018 2019

https://www.msb.se/sv/om-msb/lag-och-ratt/gallande-regler/krisberedskap-och-informationssakerhet/

Vad behöver Sverige göra för att uppfylla kraven i NIS-direktivet?

Vad medlemsstaterna ska göra Nationell strategi för säkerhet i nätverks- och informationssystem Samarbeta inom EU CSIRT Rapporteringskrav Genomföra NIS-direktivet i svensk lag

Vilka organisationer berörs?

Två kategorier av tjänster Samhällsviktiga tjänster Digitala tjänster Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Internetbaserad marknadsplats Molntjänst Internetbaserad sökmotor

Leverantörer i både privat och offentlig sektor Företag Landsting Kommuner Myndigheter Kan beröras både som leverantörer av samhällsviktiga tjänster inom flera sektorer och av digitala tjänster. Kan beröras som leverantörer av samhällsviktiga tjänster inom exempelvis hälso- och sjukvård. Kan beröras som leverantörer av samhällsviktiga tjänster inom flera sektorer Kan beröras som leverantörer av samhällsviktiga tjänster främst inom transport.

Identifiering av digitala tjänster Digitala tjänster delas upp i internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Vissa förutsättningar gäller för att omfattas av reglerna i Sverige. Reglerna gäller: Leverantörer som har sitt huvudkontor i Sverige. Leverantörer med en årsomsättning som överstiger 10 miljoner euro. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) och de EU-förordningar och EU-direktiv den hänvisar till. Leverantörer med 50 eller fler anställda.

Vad behöver vi göra för att uppfylla kraven i NIS-regleringen?

Identifiering av samhällsviktiga tjänster Lagen gäller för leverantörer som tillhandahåller en samhällsviktig tjänst, är etablerade i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem samt att en incident skulle medföra en betydande störning. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd MSB:s föreskrifter och vägledningar som stöd till identifiering. Exempel: Samhällsviktiga tjänster inom bankverksamhet Från föreskrifter: Med samhällsviktiga tjänster rörande bankverksamhet där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses betaltjänster enligt 1 kap. 2 1-6 lagen (2010:751) om betaltjänster som tillhandahålls av 1. kreditinstitut enligt 1 kap. 5 10 lagen (2004:297) om bankoch finansieringsrörelse som enligt Finansinspektionens årliga tillsynskategorisering tillhör kategori 1 eller 2, eller 2. utländska kreditinstitut som driver finansieringsrörelse i Sverige genom en filial med en balansomslutning om minst 500 miljarder kronor.

Identifiering av digitala tjänster Digitala tjänster delas upp i internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Vissa förutsättningar gäller för att omfattas av reglerna i Sverige. Reglerna gäller: Leverantörer som har sitt huvudkontor i Sverige. Leverantörer med en årsomsättning som överstiger 10 miljoner euro. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) och de EU-förordningar och EU-direktiv den hänvisar till. Leverantörer med 50 eller fler anställda.

Anmälningsskyldighet Leverantörer av samhällsviktiga tjänster är skyldig att utan dröjsmål anmäla sig till relevant tillsynsmyndighet. Anmälan innebär att tillsynsmyndigheten kan upprätta en förteckning över sin tillsynsobjekt och förberedelserna inför incidentrapportering inleds. Tillsynsmyndigheten kommer att meddela kontaktperson för incidentrapporteringskonto till MSB. Leverantörer av digitala tjänster har inte anmälningsplikt. Anmälningsskyldighet för samhällsviktiga tjänster Från föreskrifter: 1 En leverantör av samhällsviktig tjänst ska utan dröjsmål anmäla följande till berörd tillsynsmyndighet. 1. Leverantör och berörd tjänst, inbegripet a) Namn på leverantör b) Organisationsnummer c) Kontaktuppgifter d) Berörd samhällsviktig tjänst e) Om den samhällsviktiga tjänsten tillhandahålls i två eller flera medlemsstater inom Europeiska unionen, samt i så fall vilka. 2. Anmälan av kontaktperson och ansvarig för incidentrapporteringskonton a) För- och efternamn b) E-postadress c) Mobiltelefonnummer

När man identifierat sig?

Systematiskt informationssäkerhetsarbete och användning av standarder Lagen anger att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete MSB:s föreskrifter beskriver i mer detalj vad detta innebär. Informationssäkerhetsarbetet ska bedrivas med stöd av standarderna om ledningssystem för informationssäkerhet (SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017) eller motsvarande. Genom att följa MSB:s metodstöd för systematiskt informationssäkerhetsarbete kommer man att uppfylla kraven i regleringen. Kraven gäller även vid utkontraktering. För digitala tjänster är kraven annorlunda och beskrivs i EU:s kommissionens så kallade genomförandeförordning. I detta ingår att sätta informationssäkerhetsmål, klassa sin information, göra riskanalys med mera.

Föreskrifter informationssäkerhet för leverantörer av samhällsviktiga tjänster Exempel reglering i föreskrifter: Tillämpningsområde 2 Utkontraktering 3-4 Begrepp Systematiskt och riskbaserat informationssäkerhetsarbete 5 Arbeta med stöd av SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002 6 Intern ledning och styrning Forts exempel reglering i föreskrifter: Närmare krav på informationssäkerhetsarbetet 7 Styrande dokument policy och andra interna regler 8 Systematiskt arbetssätt -informationsklassning, riskbedömning, val av säkerhetsåtgärder 9 Kunskap och kompetens Särskilt om nätverk och informationssystem 10 Informationssäkerhet för nätverk och informationssystem 11 Incidenthantering 12 Kontinuitetshantering

Operativ nivå Kontinuitetshantering Leverantörer av samhällsviktiga tjänster ska säkerställa kontinuitet för sin verksamhet 100% Öva alternativa arbetssätt i syfte att upprätthålla kontinuitet Utvärdera arbetet med att upprätthålla kontinuitet. Minska avbrottstid Minska initial störning Tid

Var kan jag få stöd i att arbeta systematiskt och riskbaserat?

Metodstöd för systematiskt informationssäkerhetsarbete Vänder sig till dig som arbetar med informationssäkerhet i en organisation Går att använda oavsett hur mycket eller litet som redan är gjort i din organisation Utgår från standarden för ledningssystem för informationssäkerhet (SS-EN ISO/IEC 27001).

Analysera & identifiera Följa upp & förbättra Utforma Metodstödets fyra delar Jobba igenom A till Ö eller välj relevanta steg. Många jobbar i flera steg parallellt. Använda

För dig som vill veta mer Du hittar metodstödet på Informationssäkerhet.se Skicka frågor och synpunkter till metodstod@informationssakerhet.se

Incidenthantering Leverantörer av samhällsviktiga tjänster ska ha regler och arbetssätt för att upptäcka och vidta åtgärder för att minimera konsekvenserna av incidenter och avvikelser som påverkar organisationens tillhandahållande av samhällsviktiga tjänster. Kraven beskrivs i MSB:s föreskrifter. För digitala tjänster är kraven liknande och beskrivs i EU:s kommissionens så kallade genomförandeförordning. Både leverantörer av samhällsviktiga och digitala tjänster ska incidentrapporter till MSB.

Tillsyn Stödjer ständig förbättring av säkerheten Skillnad mellan samhällsviktiga och digitala tjänster Inte anmält sig Bristande säkerhetsåtgärder Inte rapporterat incidenter

Tillsynsmyndigheter Sektor Energi Transport Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn Leverans och distribution av dricksvatten Digital infrastruktur Tillsynsmyndighet Statens energimyndighet Transportstyrelsen Finansinspektionen Finansinspektionen Inspektionen för vård och omsorg Livsmedelsverket Post- och telestyrelsen För digitala tjänster är Post- och telestyrelsen (PTS) bli tillsynsmyndighet.

Var kan jag hitta mer information? MSB.se Aktuell information om genomförandet av NISdirektivet hittar du på msb.se/nis. fraga.nis@msb.se Om du har allmänna frågor om NIS-direktivet och genomförandet i Sverige är du välkommen att mejla MSB.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss