NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Relevanta dokument
NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

- Vad du behöver veta om NIS

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Utredningen om genomförande av NIS-direktivet

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Svensk författningssamling

NIS-reglering.

Informationssäkerhet för samhällsviktiga och digitala tjänster

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Svensk författningssamling

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Samhällets funktionalitet nuläge och utmaningar

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Elektromagnetiska hot

Nya krav på systematiskt informationssäkerhets arbete

Verksamhetsplan Informationssäkerhet

Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Myndigheten för samhällsskydd och beredskaps författningssamling

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Myndigheten för samhällsskydd och beredskaps författningssamling

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhetspolicy för Ånge kommun

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Utvärdering och förebyggande åtgärder

Regelrådets ställningstagande. Innehållet i förslaget. Myndigheten för samhällsskydd och beredskap

Informationssäkerhetspolicy för Ystads kommun F 17:01

(5)

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Informationssäkerhetspolicy inom Stockholms läns landsting

Information om dataskyddsförordningen

Gräns för utkontraktering av skyddsvärd information

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

2018:7. Tillsyn enligt NIS-direktivet kostnader och finansiering

Informationssäkerhet för samhällsviktiga och digitala tjänster

Programmet för säkerhet i industriella informations- och styrsystem

Myndigheten för samhällsskydd och beredskaps författningssamling

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Välkommen till enkäten!

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Justitiedepartementet Stockholm

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Vägledning för identifiering av samhällsviktig verksamhet och prioritering. Bo Gellerbring Anna Rinne Enheten för skydd av samhällsviktig verksamhet

Svensk författningssamling

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Hur värnar kommuner digital säkerhet?

Digitalisering en möjlighet om vi når säkerhet

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Policy för informations- säkerhet och personuppgiftshantering

Kurir för it-incident rapportering Hanteringsregler. Myndigheten för samhällsskydd och beredskap PM 1 (7)

E-legitimering och e-underskrift Johan Bålman esam

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Information om patientsäkerhetslagen

Informationssäkerhetspolicy

Samhällets informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

1(7) Medicintekniska produkter. Styrdokument

PATIENTSÄKERHET RIKTLINJE FÖR PATIENTSÄKERHET

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Att säkerställa informationssäkerhet vid upphandling

Policy för informationssäkerhet

Riktlinjer för systematiskt patientsäkerhetsarbete

Kungsbacka Kommun. Rapport: Granskning av IT-säkerhet. Juni Max Wann-Hansson. Jesper Ehrner Vilhelmsson. Hardik Patel

Dnr

1(8) Avvikelse- och riskhantering inom SoL, LSS och HSL. Styrdokument

Lokal och regional krisberedskap. Dag 2. Risk- och sårbarhetsanalyser

Nationell risk- och förmågebedömning 2017

Vägledning för anmälan och identifiering av leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

Myndigheten för samhällsskydd och beredskaps författningssamling

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Bilaga 3 Säkerhet Dnr: /

Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

för hälso- och sjukvårdsarbetsuppgifter

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Transkript:

NIS-direktivet - Därför är NIS viktigt för kommuner och landsting 5 september 2018 Christoffer Karsberg

Övergripande syftet med NIS-direktivet Nätverks- och informationssystem spelar en viktig roll i samhället. Deras tillförlitlighet och säkerhet är grundläggande för ekonomisk och samhällelig verksamhet och i synnerhet för den inre marknadens funktion.

20 landsting, varav 13 har regionstatus Ca. 1,6 miljarder påstigningar i kollektivtrafiken Vi behöver upprätthålla det uppkopplade samhällets funktionalitet 290 kommuner 45 flygplatser som möjliggör ca 367 000 landningar med ca. 36 miljoner passagerare Ca 1200 vårdcentraler och ca 90 sjukhus till ca 4 miljoner patienter och ca 13 miljoner vårdbesök Ca. 1,58 miljoner.se-domäner 1 200 106 företag, 50% med minst 10 anställda använder molntjänster Ca 2400 finansbolag, 3 miljarder kortköp Ca 140 elnätbolag som möjliggör svenskarnas elförbrukning om 15MWh per invånare och år Ca 1750 vattenverk som förser varje invånare med 160 liter vatten per dygn, motsvarande ~587 miljarder liter per år Källor: SKL, SCB, Trafikanalys, Socialstyrelsen, IIS, Elskling.se, Energiföretagen, Hitta.se, Riksbanken, PTS, Svenskt vatten

Två kategorier av tjänster Samhällsviktiga tjänster Digitala tjänster Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvård Leverans och distribution av dricksvatten Digital infrastruktur Internetbaserad marknadsplats Molntjänst Internetbaserad sökmotor

Leverantörer i både privat och offentlig sektor Företag Landsting Kommuner Myndigheter

Lag, förordning och föreskrifter Lagen om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1174) Förordning om informationssäkerhet i samhällsviktiga och digitala tjänster (SFS 2018:1175) MSB:s föreskrifter (1 nov 2018) om identifiering av samhällsviktiga tjänster Systematisk informationssäkerhet incidentrapportering Tillsynsmyndigheterna och Socialstyrelsen får meddela sektorsspecifika föreskrifter om säkerhetsåtgärder

Hur vet jag om min organisation berörs?

Undersök om din organisation berörs av NIS-direktivet Stöd idag Slutgiltigt stöd MSB:s förslag till förteckning över samhällsviktiga tjänster (jan 2018) Utkast föreskrifter om identifiering av samhällsviktiga tjänster (juni 2018) Föreskrifter om identifiering av samhällsviktiga tjänster (1 nov 2018)

Exempel (förslag): Dricksvatten Identifiering av leverantörer av samhällsviktiga tjänster inom leverans och distribution av dricksvatten Med samhällsviktiga tjänster avseende leverans och distribution av dricksvatten där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses leveranser av dricksvatten som en huvudman enligt 2 lagen (2006:412) om allmänna vattentjänster tillhandahåller till minst 20 000 personer, eller akutsjukhus.

Exempel (förslag): Hälso- och sjukvård Identifiering av leverantörer av samhällsviktiga tjänster inom hälso- och sjukvård Med samhällsviktiga tjänster rörande hälso- och sjukvård där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses sådan hälso- och sjukvård som avses i 1 kap 2 patientsäkerhetslagen (2010:659) och som bedrivs av vårdgivare där antalet årsanställd legitimerad vårdpersonal överstiger 50 personer.

Vad innebär det för leverantörer av samhällsviktiga tjänster? Krav på systematiskt informationssäkerhetsarbete Krav på att rapportera incidenter med betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten Blir föremål för tillsyn från utpekade tillsynsmyndigheter

Systematiskt informationssäkerhetsarbete

Ständig förbättring Vidta säkerhetsåtgärder Riskhantering Incidenthantering och rapportering

Incidenthantering och rapportering

Något händer

Incidenten hanteras och analyseras

Incidenten rapporteras 6h 24h 4v Leverantören MSB/CERT-SE Tillsynsmyndighet Incident med betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten

Inrapportering i verktyget Tillsynsmyndighet x6 Rapportör Login Certifikat Lösenord Skapa/ komplettera rapport Ange diarie- eller ärendenummer Skicka in rapport Skriva ut rapport diarie- eller ärendenummer MSB Hantering/Analys

Incidentrapporter - informationsklassning Enskild rapport kan omfattas av sekretess enligt 18:8 (OSL), ej hemlig Informationssäkerhetsklassning har resulterat i bedömningen att flertal rapporter kan innehålla information som tillsammans omfattas av sekretess som rör Sveriges säkerhet. Ingen inrapporterad incidentinformation ska sparas i internetgränssnittet. Säkerhet har påverkan på design samt funktionalitet för verktyget för incidentrapportering

Incidentrapporter - Sekretess MSB har hanterat flera begäran om utlämnande av incidentrapporter. Information om vem som drabbats, vad som hänt och när det hänt är känslig information. Omfattas av sekretess enligt 18:8 OSL om säkerhets- och bevakningsåtgärder. Kammarrätten har gått på MSB:s linje att sekretessbelägga stor del av informationen.

Förbättringar genom lärande?!

Incidenten hanteras och rapporteras

Behöver riskbedömningen justeras?

Anpassa eller vidta nya säkerhetsåtgärder?

Ständig förbättring Vidta säkerhetsåtgärder Riskhantering Incidenthantering och rapportering

Förebyggande stöd

MSB har uppdaterat metodstödet för systematiskt informationssäkerhetsarbete Metodstödet vänder sig till de som arbetar med informationssäkerhet i en organisation Från principer till checklistor Ny uppdaterad version lanserades i mars 2018 Återfinns på www.informationssäkerhet.se

Vägledningar och kompetensutveckling -för aktörer som använder ICS/SCADA

Nätverk för erfarenhetsutbyte

Tillsyn

Tillsynsmyndigheter Sektor Energi Transport Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn Leverans och distribution av dricksvatten Digital infrastruktur Tillsynsmyndighet Statens energimyndighet Transportstyrelsen Finansinspektionen Finansinspektionen Inspektionen för vård och omsorg Livsmedelsverket Post- och telestyrelsen För digitala tjänster är Post- och telestyrelsen (PTS) tillsynsmyndighet.

Uppgifter för tillsynsmyndigheterna Möjlighet att utfärda sektorsspecifika föreskrifter gällande säkerhetsåtgärder Tillsyn över sektorn Möjlighet att utfärda vitesförelägganden om krav inte efterlevs

Tillsynsmyndigheterna är sektorsmyndigheter Sektorsmyndigheten har kompetensen och ett ansvar för sin sektor och dess förmåga Informations- och cybersäkerhet är inte ett isolerat tekniskt område Informations- och cybersäkerhet behöver integreras i organisationens verksamhet Vitesförelägganden kan utfärdas, men detta är den sista åtgärden efter möjligheter att vidta rättning Målsättningen för sektorsmyndigheten är att pusha leverantören att kontinuerligt förbättra sin informationssäkerhet

och att leverantören tar ansvar för och känner ägarskap för sin informationssäkerhet

När börjar de nya reglerna gälla i praktiken för leverantörer av samhällsviktiga tjänster? 1 nov 2018 Identifiera sig och anmäla sig till tillsynsmyndigheten Börja följa MSB:s föreskrifter om systematiskt informationssäkerhetsarbete Rapportera incidenter till CERT-SE på MSB

Föreskriftsremissen slutade igår 4/9 Identifieringsföreskrifterna ca 50 svar Föreskriftsförslag om informationssäkerhet ca 35 svar De tre föreskriftsförslagen om incidentrapportering ca 100 svar Fler aktörer från offentlig sektor än från privat sektor har svarat De flesta svar: Inga synpunkter eller tillstyrker Flest kommentarer om incidentrapporteringen

Frågor och kommentarer från KIS-mötet 180903 Behov av stöd gällande hur jobba samordnat med GDPR, NIS och säkerhetsskydd Hands-on-guide för metodstödet skulle önskas Hur räknar man personer i dricksvattenförsörjning i en kommun med en kraftigt ökande befolkning under turistsäsong? Scada -kommer det med i bilden? Ansvar kommunala bolag respektive kommunen? Vi har en hamn, som vi har lagt ut driften på. Vem har NIS-kraven, kommunen eller den som driver hamnen? I ägardirektivet mellan kommunen och kommunala verksamheter/bolag bör man skriva in ansvaret för NIS-kraven. Om kommunbolaget inte är intresserad av eller har förmågan att anmäla sig till tillsynsmyndigheten, vad händer då?

Frågor och kommentarer från landstingsnätverket 180903 Är biljettsystemet för tåg en samhällsviktig tjänst? Om det sker en incident i ett centralt informationssystem som drabbar många leverantörer, måste alla då rapportera var och en för sig? KRY, är det en typ av tjänst som omfattas? Ska man kanske ha upptagningsområde istället för antal anställda? Eller antalet patientbesök? Vi är oroliga för kostnaderna. Satsa en del av digitaliseringsbudgeten på informationssäkerhet.

Hur får jag mer information? MSB.se fraga.nis@msb.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss