NIS-direktivet 4 september 2017 Johanna Linder Martin Gynnerstedt
NIS-direktivet Directive concerning the measures for a high common level of security of network and information systems across the union
Lagförslag Informationssäkerhet för samhällsviktiga och digitala tjänster SOU 2017:36
Tidplan Direktivet beslutades 6 juli 2016 SOU kom april 2017, remiss tom 15 augusti Ny lag ska börja gälla 10 maj 2018 Ny lag 10 maj 2018
Vad handlar direktivet/lagförslaget om? Vem träffas av regelverket?
Direktivet syftar till att förbättra cybersäkerheten i samhället
Vem träffas av regelverket Leverantörer av: samhällsviktiga tjänster digitala tjänster
Samhällsviktig tjänst En tjänst som är viktig för att upprätthålla en kritisk samhällelig eller ekonomisk verksamhet, tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och en incident skulle medföra en betydande störning av tillhandahållandet av tjänsten
Samhällsviktig tjänst Energi Transporter Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn Leverans och distribution av dricksvatten Digital infrastruktur
Samhällsviktig tjänst Undantag för: Åtgärder till skydd för nationell säkerhet Sektorsspecifik reglering eidas (E-ID) Integritetsdirektivet (telekom) ECI-direktivet (kritiskt infrastruktur)
Samhällsviktig tjänst Du är ansvarig för att bedöma om du tillhandahåller en samhällsviktig tjänst Kommer vidare vägledning om: vilka tjänster som är samhällsviktiga tjänster och eventuellt om vilka faktorer som ska beaktas, t.ex. vad som innefattas i en betydande störning
Digitala tjänster Internetbaserad marknadsplats Internetbaserad sökmotor Molntjänst Undantag för: Micro/småföretag (< 50 anställda och 10 MEURO) Hård/mjukvarutillverkare
Krav och Skyldigheter Säkerhetsåtgärder Incidentrapportering
Säkerhetsåtgärder samhällsviktiga tjänster Leverantörer av samhällsviktiga tjänster ska: Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete Vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen för att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken Vidta lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverk och informationssystem i syfte att säkerställa kontinuiteten i dessa tjänster Göra en riskanalys och åtgärdsplan som ska dokumenteras och uppdateras årligen
Säkerhetsåtgärder digitala tjänster Leverantörer av digitala tjänster ska: Vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen för att säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. Säkerheten i system och anläggningar, 2. Incidenthantering, 3. Hantering av driftskontinuitet, 4. Övervakning, revision och testning och 5. Efterlevnad av internationella standarder Vidta åtgärder för att förebygga och minimera den inverkan som incidenter har
Incidentrapportering samhällsviktiga tjänster Leverantörer av samhällsviktiga tjänster ska: Utan onödigt dröjsmål rapportera incidenter som har betydande inverkan på kontinuiteten av tjänsten till CSIRT-enheten Huruvida betydande inverkan föreligger ska bedömas utifrån: 1. Antal användare som påverkas 2. Hur länge incidenten varar 3. Geografiskt område som påverkas
Incidentrapportering digitala tjänster Leverantörer av digitala tjänster ska: Utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten till CSIRT-enheten Huruvida avsevärd inverkan föreligger ska bedömas utifrån: 1. Hur länge incidenten varar 2. Geografiskt område som påverkas 3. I vilken omfattning incidenten stör tjänstens funktion 4. I vilken utsträckning incidenten inverkar på den ekonomiska och samhälleliga verksamheten Om det är lämpligt får CSIRT-enheten begära att allmänheten informeras
Vad händer om man gör fel?
Tillsyn Flera olika tillsynsmyndigheter med långtgående befogenheter Kan begära rättelse kombinerat med vite Kan besluta om sanktionsavgift 5 0000 till 10 000 000 kr
Likheter med GDPR
Likheter och skillnader Likheter Krav att preventiva säkerhetsåtgärder ska vidtas Krav på utredning/dokumentation avseende säkerhet Skillnader GDPR rör endast personuppgifter GDPR rör alla och inte endast vissa aktörer/branscher Krav på incidentrapportering till myndighet och till allmänhet
Avslutande ord
Att ta med sig 1. Du är ansvarig för att bedöma om din verksamhet träffas av NIS-lagen 2. Vilka förberedelser behöver jag vidta/vad görs idag avseende säkerhetsåtgärder/dokumentation etc.? 3. Överväg om det är möjligt att samordna GDPR-arbete med NIS-arbete, t.ex. avseende riskbedömningar, dokumentation samt implementering av rutiner och säkerhetsåtgärder
Kontaktpersoner Johanna Linder E-post: johanna.linder@cederquist.se Telefonnummer: +46 739 60 66 31 Martin Gynnerstedt E-post: martin.gynnerstedt@cederquist.se Telefonnummer: +46 739 60 65 36
LAW HANDMADE CEDERQUIST.SE