NIS-direktivet Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster Jan-olof.olsson@msb.se
Varför vi behövs?!
Vi ska bidra till samhällets förmåga att Förbygga händelser Så att aktörerna bättre kan: bedriva brand- och olycksförebyggande arbete ha kontinuitet i samhällsviktig verksamhet hantera farliga ämnen hantera information säkert Hantera händelser Så att aktörerna bättre kan: genomföra räddningsinsatser agera samordnat vid händelser stödja Försvarsmakten vid höjd beredskap
Robust försörjning och skydd av samhällsviktiga funktioner är centralt för befolkningens överlevnad och för att vårt samhälle ska fungera Nationell säkerhetsstrategi, Regeringskansliet januari 2017 Med krisberedskapen som grund kan förmågan att hantera samhällsstörningar över hela hotskalan utvecklas. Gemensamma grunder (grundsyn) för en sammanhängande planering för totalförsvaret. MSB och FM juni 2016
NIS-direktivet EU-direktiv som ställer krav på säkerhet i nätverk och informationssystem i hela unionen. EU-direktiv behöver genomföras i svensk lag för att börja gälla i Sverige. Genomförandeprocessen pågår.
Varför behövs NIS-direktivet?
Digitalisering och säkerhetsarbete i otakt
20 landsting, varav 13 har regionstatus Ca. 1,6 miljarder påstigningar i kollektivtrafiken Vi behöver upprätthålla det uppkopplade samhällets funktionalitet Källor: SKL, SCB, Trafikanalys, Socialstyrelsen, IIS, Elskling.se, Energiföretagen, Hitta.se, Riksbanken, PTS, Svenskt vatten, Nordicom, Myndigheten för radio och tv 290 kommuner 442 myndigheter, varav 238 statliga förvaltningsmyndigheter 4 militärregioner 7 polisregioner 45 flygplatser som möjliggör ca 367 000 landningar med ca. 36 miljoner passagerare 35 högskolor och universitet Ca 1200 vårdcentraler och ca 90 sjukhus till ca 4 miljoner patienter och ca 13 miljoner vårdbesök Ca. 1,58 miljoner.se-domäner 1 200 106 företag, 50% med minst 10 anställda använder molntjänster Ca 2400 finansbolag, 3 miljarder kortköp Ca 140 elnätbolag som möjliggör svenskarnas elförbrukning om 15MWh per invånare och år 164 dagstidningar, 340 minuter mediekonsumtion per person och dag Ca 1750 vattenverk som förser varje invånare med 160 liter vatten per dygn, motsvarande ~587 miljarder liter per år Ca 600 teleoperatörer som bl.a. tillhandahåller 13,5 miljoner internetabonnemang och 14,6 miljoner mobila teletjänster
Övergripande syftet med NIS-direktivet Nätverks- och informationssystem spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion.
Lag, förordning och föreskrifter Lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) Förordning om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1175) MSB:s föreskrifter (november 2018) Eventuella sektorsspecifika föreskrifter från tillsynsmyndigheterna och Socialstyrelsen
När börjar de nya reglerna gälla? MSB-föreskrifter på remiss (29 juni) Ny lag beslutades av riksdagen (13 jun) Föreskrifter incidentrapportering beslutas (18 dec) EU-kommissionen beslutade om genomförandeförordning (30 jan) Regeringen beslutade om proposition till ny lag (29 mar) NIS-direktivet började gälla i EU (9 maj) Regeringen beslutade om förordning (20 jun) Ny lag och förordning trädde i kraft (1 aug) MSB-förskrifter identifiering och informationssäkerhet träder i kraft (1 nov) MSB-förskrifter identifiering och informationssäkerhet beslutas (23 okt) Föreskrifter incidentrapportering träder i kraft (1 mar) jan feb mar apr maj jun jul aug sep okt nov dec jan feb mar 2018 2019
https://www.msb.se/sv/om-msb/lag-och-ratt/gallande-regler/krisberedskap-och-informationssakerhet/
Vad behöver Sverige göra för att uppfylla kraven i NIS-direktivet?
Vad medlemsstaterna ska göra Nationell strategi för säkerhet i nätverks- och informationssystem Samarbeta inom EU CSIRT Rapporteringskrav Genomföra NIS-direktivet i svensk lag
Vilka organisationer berörs?
Två kategorier av tjänster Samhällsviktiga tjänster Digitala tjänster Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Internetbaserad marknadsplats Molntjänst Internetbaserad sökmotor
Leverantörer i både privat och offentlig sektor Företag Landsting Kommuner Myndigheter Kan beröras både som leverantörer av samhällsviktiga tjänster inom flera sektorer och av digitala tjänster. Kan beröras som leverantörer av samhällsviktiga tjänster inom exempelvis hälso- och sjukvård. Kan beröras som leverantörer av samhällsviktiga tjänster inom flera sektorer Kan beröras som leverantörer av samhällsviktiga tjänster främst inom transport.
Identifiering av digitala tjänster Digitala tjänster delas upp i internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Vissa förutsättningar gäller för att omfattas av reglerna i Sverige. Reglerna gäller: Leverantörer som har sitt huvudkontor i Sverige. Leverantörer med en årsomsättning som överstiger 10 miljoner euro. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) och de EU-förordningar och EU-direktiv den hänvisar till. Leverantörer med 50 eller fler anställda.
Vad behöver vi göra för att uppfylla kraven i NIS-regleringen?
Identifiering av samhällsviktiga tjänster Lagen gäller för leverantörer som tillhandahåller en samhällsviktig tjänst, är etablerade i Sverige, att tillhandahållandet av tjänsten är beroende av nätverk och informationssystem samt att en incident skulle medföra en betydande störning. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd MSB:s föreskrifter och vägledningar som stöd till identifiering. Exempel: Samhällsviktiga tjänster inom bankverksamhet Från föreskrifter: Med samhällsviktiga tjänster rörande bankverksamhet där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses betaltjänster enligt 1 kap. 2 1-6 lagen (2010:751) om betaltjänster som tillhandahålls av 1. kreditinstitut enligt 1 kap. 5 10 lagen (2004:297) om bankoch finansieringsrörelse som enligt Finansinspektionens årliga tillsynskategorisering tillhör kategori 1 eller 2, eller 2. utländska kreditinstitut som driver finansieringsrörelse i Sverige genom en filial med en balansomslutning om minst 500 miljarder kronor.
Identifiering av digitala tjänster Digitala tjänster delas upp i internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Vissa förutsättningar gäller för att omfattas av reglerna i Sverige. Reglerna gäller: Leverantörer som har sitt huvudkontor i Sverige. Leverantörer med en årsomsättning som överstiger 10 miljoner euro. Varje leverantör ansvarar själv för att undersöka om man är en leverantör av samhällsviktiga tjänster. Använd lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) och de EU-förordningar och EU-direktiv den hänvisar till. Leverantörer med 50 eller fler anställda.
Anmälningsskyldighet Leverantörer av samhällsviktiga tjänster är skyldig att utan dröjsmål anmäla sig till relevant tillsynsmyndighet. Anmälan innebär att tillsynsmyndigheten kan upprätta en förteckning över sin tillsynsobjekt och förberedelserna inför incidentrapportering inleds. Tillsynsmyndigheten kommer att meddela kontaktperson för incidentrapporteringskonto till MSB. Leverantörer av digitala tjänster har inte anmälningsplikt. Anmälningsskyldighet för samhällsviktiga tjänster Från föreskrifter: 1 En leverantör av samhällsviktig tjänst ska utan dröjsmål anmäla följande till berörd tillsynsmyndighet. 1. Leverantör och berörd tjänst, inbegripet a) Namn på leverantör b) Organisationsnummer c) Kontaktuppgifter d) Berörd samhällsviktig tjänst e) Om den samhällsviktiga tjänsten tillhandahålls i två eller flera medlemsstater inom Europeiska unionen, samt i så fall vilka. 2. Anmälan av kontaktperson och ansvarig för incidentrapporteringskonton a) För- och efternamn b) E-postadress c) Mobiltelefonnummer
När man identifierat sig?
Systematiskt informationssäkerhetsarbete och användning av standarder Lagen anger att leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete MSB:s föreskrifter beskriver i mer detalj vad detta innebär. Informationssäkerhetsarbetet ska bedrivas med stöd av standarderna om ledningssystem för informationssäkerhet (SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017) eller motsvarande. Genom att följa MSB:s metodstöd för systematiskt informationssäkerhetsarbete kommer man att uppfylla kraven i regleringen. Kraven gäller även vid utkontraktering. För digitala tjänster är kraven annorlunda och beskrivs i EU:s kommissionens så kallade genomförandeförordning. I detta ingår att sätta informationssäkerhetsmål, klassa sin information, göra riskanalys med mera.
Föreskrifter informationssäkerhet för leverantörer av samhällsviktiga tjänster Exempel reglering i föreskrifter: Tillämpningsområde 2 Utkontraktering 3-4 Begrepp Systematiskt och riskbaserat informationssäkerhetsarbete 5 Arbeta med stöd av SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002 6 Intern ledning och styrning Forts exempel reglering i föreskrifter: Närmare krav på informationssäkerhetsarbetet 7 Styrande dokument policy och andra interna regler 8 Systematiskt arbetssätt -informationsklassning, riskbedömning, val av säkerhetsåtgärder 9 Kunskap och kompetens Särskilt om nätverk och informationssystem 10 Informationssäkerhet för nätverk och informationssystem 11 Incidenthantering 12 Kontinuitetshantering
Operativ nivå Kontinuitetshantering Leverantörer av samhällsviktiga tjänster ska säkerställa kontinuitet för sin verksamhet 100% Öva alternativa arbetssätt i syfte att upprätthålla kontinuitet Utvärdera arbetet med att upprätthålla kontinuitet. Minska avbrottstid Minska initial störning Tid
Var kan jag få stöd i att arbeta systematiskt och riskbaserat?
Metodstöd för systematiskt informationssäkerhetsarbete Vänder sig till dig som arbetar med informationssäkerhet i en organisation Går att använda oavsett hur mycket eller litet som redan är gjort i din organisation Utgår från standarden för ledningssystem för informationssäkerhet (SS-EN ISO/IEC 27001).
Analysera & identifiera Följa upp & förbättra Utforma Metodstödets fyra delar Jobba igenom A till Ö eller välj relevanta steg. Många jobbar i flera steg parallellt. Använda
För dig som vill veta mer Du hittar metodstödet på Informationssäkerhet.se Skicka frågor och synpunkter till metodstod@informationssakerhet.se
Incidenthantering Leverantörer av samhällsviktiga tjänster ska ha regler och arbetssätt för att upptäcka och vidta åtgärder för att minimera konsekvenserna av incidenter och avvikelser som påverkar organisationens tillhandahållande av samhällsviktiga tjänster. Kraven beskrivs i MSB:s föreskrifter. För digitala tjänster är kraven liknande och beskrivs i EU:s kommissionens så kallade genomförandeförordning. Både leverantörer av samhällsviktiga och digitala tjänster ska incidentrapporter till MSB.
Tillsyn Stödjer ständig förbättring av säkerheten Skillnad mellan samhällsviktiga och digitala tjänster Inte anmält sig Bristande säkerhetsåtgärder Inte rapporterat incidenter
Tillsynsmyndigheter Sektor Energi Transport Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn Leverans och distribution av dricksvatten Digital infrastruktur Tillsynsmyndighet Statens energimyndighet Transportstyrelsen Finansinspektionen Finansinspektionen Inspektionen för vård och omsorg Livsmedelsverket Post- och telestyrelsen För digitala tjänster är Post- och telestyrelsen (PTS) bli tillsynsmyndighet.
Var kan jag hitta mer information? MSB.se Aktuell information om genomförandet av NISdirektivet hittar du på msb.se/nis. fraga.nis@msb.se Om du har allmänna frågor om NIS-direktivet och genomförandet i Sverige är du välkommen att mejla MSB.