Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Relevanta dokument
Svensk författningssamling

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Myndigheten för samhällsskydd och beredskaps författningssamling

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Svensk författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Utredningen om genomförande av NIS-direktivet

Myndigheten för samhällsskydd och beredskaps författningssamling

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nya krav på systematiskt informationssäkerhets arbete

- Vad du behöver veta om NIS

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-reglering.

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Samhällets funktionalitet nuläge och utmaningar

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Myndigheten för samhällsskydd och beredskaps författningssamling

Välkommen till enkäten!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Informationssäkerhet för samhällsviktiga och digitala tjänster

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhet - Informationssäkerhetspolicy

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Avbrott i bredbandstelefonitjänst

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Ånge kommun

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhetspolicy för Umeå universitet

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhetspolicy. Linköpings kommun

Post- och telestyrelsen, PTS. Post- och telestyrelsen

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Policy för informationssäkerhet

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Informationssäkerhetspolicy KS/2018:260

Policy för informations- säkerhet och personuppgiftshantering

Gräns för utkontraktering av skyddsvärd information

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

(5)

Informationssäkerhet, Linköpings kommun

Bilaga Från standard till komponent

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Finansinspektionens författningssamling

I Central förvaltning Administrativ enhet

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Myndigheten för samhällsskydd och beredskap

Finansinspektionens författningssamling

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

ISO/IEC och Nyheter

Hur värnar kommuner digital säkerhet?

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Exponerade fakturor på internet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Finansinspektionens författningssamling

Programmet för säkerhet i industriella informations- och styrsystem

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Riktlinjer för försäkringsföretags hantering av klagomål

Koncernkontoret Enheten för säkerhet och intern miljöledning

Finansinspektionens författningssamling

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Transkript:

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Informationsmöte om NIS.se

Agenda Inledning och kort om PTS EU:s direktiv och MSB:s roll PTS roll i NIS Fikapaus Vad innebär NIS? Identifiering samhällsviktiga och digitala tjänster Anmälan samhällsviktiga tjänster Säkerhetsåtgärder Rapportering av incidenter PTS kommande arbete med NIS Avslutning

Inledning och kort om PTS

Kort om PTS Myndighet, under Näringsdepartementet, som bevakar områdena elektronisk kommunikation och post Alla i Sverige ska ha tillgång till bra telefoni, bredband och post Ca 300 medarbetare Bildades 1992

Det här styr PTS EU styr arbetet i Sverige genom direktiv och förordningar Sveriges riksdag och regering styr PTS genom lagar och förordningar regleringsbrev och instruktion regeringsuppdrag Foto: Riksdagsförvaltningen

Våra roller Främjande Vi informerar och stödjer genom tjänster för personer med funktionsnedsättning åtgärder för robusta nät, bredbandsstöd Bredbandsforum, Digitaliseringsrådets kansli flera regeringsuppdrag Reglerande Vi reglerar utifrån EU-regler & svensk lag Granskande Vi bedriver tillsyn över aktörerna

Våra verktyg Vi arbetar för att identifiera problem och undanröja hinder: information, beskrivning, analys, dialog och åtgärdsförslag När samhället ställer högre krav än vad marknaden tillgodoser, agerar vi: upphandling och täckningskrav När det finns stora problem på marknaden kan vi använda tvingande åtgärder: föreskrifter, skyldigheter, tillsyn, förelägganden och tvistlösning

Vi arbetar med följande områden Konkurrens Konsument Nät- och informationssäkerhet Nummer och adressering Post Spektrum med målet att uppnå långsiktig konsumentnytta

Lagar och förordningar Lagen om elektronisk kommunikation (LEK) Förordningen om elektronisk kommunikation Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen) NIS-förordningen Lag om nationella toppdomäner för Sverige på internet Förordning om nationella toppdomäner för Sverige på internet Radioutrustningslagen Radioutrustningsförordningen Lagen om åtgärder för utbyggnad av bredbandsnät Postlagen Postförordningen

EU:s direktiv och MSB:s roll

PTS roll i NIS.se

NIS omfattning och PTS roll Delvis nya marknader och aktörer för PTS Digital infrastruktur (samhällsviktig tjänst) och digitala tjänster Digitala tjänster ett smalare begrepp än det som digitaliseringsstrateger pratar om I en del EU-länder har olika organisationer ansvar för digital infrastruktur och digitala tjänster Internetknutpunkter faller under LEK

Vad är nätverk och informationssystem (NIS)? Definierat i NIS-direktivet samma begrepp överfört till NIS-lagen 1) Elektroniskt kommunikationsnät (NIS) enligt LEK 2) som behandlar Enhet (NISD) Grupp enheter (NISD) Digitala uppgifter (NISD) 3) Digitala uppgifter (NISD) som behandlats genom hjälpmedlen 1) och 2) ovan NIS-lagen ska säkerställa hög nivå av säkerhet i dessa nätverk och informationssystem i de utpekade sektorerna och för digitala tjänster

Övergripande NIS-ekosystem inom PTS sfär Digitala tjänster NIS-lagen Informationssamhällets tjänster Betrodda tjänster (eidas) DN Elektroniska kommunikationstjänster (ECS) Samhällsviktiga tjänster NIS-lagen.se DNStjänster IXP Elektroniska kommunikationsnät (ECN)

NIS-reglerna omfattar Ny lag från den 1 augusti 2018 Genomförandeförordning från EU om digitala tjänster Föreskrifter och allmänna råd från MSB Anmälan och identifiering 1 november 2018 Informationssäkerhet 1 november 2018 Incidentrapportering 1 mars 2019 PTS utreder behov av kompletterande förskrifter om säkerhetsåtgärder

Identifiering samhällsviktiga och digitala tjänster.se

Identifiering, anmälan och företrädare OES ska identifiera sig själva och sedan anmäla sig till PTS MSB föreskrifter om anmälan och identifiering för OES DSP behöver inte anmäla sig men ska i vissa fall utse en företrädare i Sverige

Företrädare (DSP) En juridisk person som erbjuder digitala tjänster i Sverige men som inte har sitt huvudsakliga etableringsställe inom EU och inte heller har utsett en företrädare i en medlemsstat där tjänsterna erbjuds, ska utse en sådan företrädare. Det huvudsakliga etableringsstället är i princip där leverantören har sitt huvudkontor. DSP omfattas av jurisdiktionen i den medlemsstat där leverantören har sitt huvudsakliga etableringsställe eller där den utsedde företrädaren är etablerad.

Digitala tjänster Internetbaserad marknadsplats: en tjänst som gör det möjligt för konsumenter eller näringsidkare att ingå internetbaserade köpeavtal eller tjänsteavtal med näringsidkare, antingen på webbplatsen för den internetbaserade marknadsplatsen eller på en webbplats som tillhör en näringsidkare och där datatjänster som tillhandahålls av en internetbaserad marknadsplats används Internetbaserad sökmotor: en tjänst som gör det möjligt för användare att göra sökningar på i princip alla webbplatser eller webbplatser på ett visst språk genom en förfrågan om vilket ämne som helst i form av ett nyckelord, en fras eller någon annan inmatning, och som returnerar länkar som innehåller information om det begärda innehållet Molntjänst: en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser

Kriterier för identifiering (OES) Det är fråga om en leverantör som tillhandahåller en samhällsviktig tjänst Registreringsenhet för toppdomän, DNS-tjänst Leverantören är etablerad i Sverige Faktisk och reell verksamhet med hjälp av en stabil struktur Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten

Om identifiering i MSB:s föreskrifter

Undantag från lagens tillämpningsområde Leverantörer av elektroniska kommunikationstjänster Leverantörer av betrodda tjänster Leverantörer av digitala tjänster som är mikroföretag eller små företag Säkerhetskänslig verksamhet Leverantörer som omfattas av krav på informationssäkerhet i andra författningar

Uttalande från EU-kommissionen COM(2017) 476 final/2 ANNEX 1 - COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Making the most of NIS towards the effective implementation of Directive (EU) 2016/1148 concerning measures for a high common level of security of network and information systems across the Union. Enligt artikel 1.3 är de säkerhets- och rapporteringskrav som föreskrivs i direktivet inte tillämpliga på leverantörer som omfattas av kraven i artikel 13a och 13b i direktiv 2002/21/EG. Om samma företag emellertid tillhandahåller även andra tjänster, såsom digitala tjänster (t.ex. datormoln eller marknadsplatser online) som förtecknas i bilaga III till it-säkerhetsdirektivet, eller tjänster av typen DNS-tjänster eller internetknutpunkter (IXP) enligt punkt 7 i bilaga II till NIS-direktivet, kommer företaget att omfattas av NIS-direktivets säkerhets- och anmälningskrav när det gäller tillhandahållandet av dessa särskilda tjänster.

Anmälan samhällsviktiga tjänster.se

Anmälningsskyldighet Leverantörer av samhällsviktiga tjänster ska utan dröjsmål anmäla sig till tillsynsmyndigheten.se Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att göra en anmälan

Hur anmäler man sig? Anmälningsblankett på PTS webbplats Blanketten kan skickas in per post eller e-post Följande information ska anges i anmälan: Leverantörens namn Organisationsnummer Kontaktuppgifter Berörd tjänst Om tjänsten även tillhandahålls i andra medlemsländer

Kontaktperson och ansvarig för incidentrapporteringskonto Leverantören ska även ange en kontaktperson och uppgifter om en eller flera ansvariga för incidentrapporteringskontot hos MSB Uppgifterna skickas över till MSB som ansvarar för att skapa ett incidentrapporteringskonto MSB utfärdar certifikat för varje person som ska ha ett incidentrapporteringskonto

Konto för incidentrapportering Leverantören anger kontaktperson och uppgifter om en eller flera ansvariga för kontot Uppgifterna skickas till MSB som ansvarar för att skapa kontot MSB utfärdar certifikat för varje person som ska ha ett konto

Vad gör PTS med inkomna anmälningar? Anmälan lämnas till PTS* Kontroll genomförs Bekräftelse skickas Uppgifter skickas till MSB *) Enligt krav i 23 i NIS-lagen, MSB:s föreskrifter och PTS vägledning/blankett

Säkerhetsåtgärder.se

Samhällsviktiga tjänster Digital infrastruktur.se

Säkerhet i nätverk och informationssystem Definition: Nätverks och informationssystems förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de besläktade tjänster som erbjuds genom eller är tillgängliga via dessa nätverk och informationssystem.

Krav på säkerhetsåtgärder i lagen (1/2) Systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem (11 NISlagen) Kraven förtydligas i MSB:s föreskrifter och allmänna råd MSBFS 2018:8 trädde i kraft den 1 november 2018

Ytterligare krav på säkerhetsåtgärder i lagen (2/2) Årligen genomföra och dokumentera riskanalyser inför val av säkerhetsåtgärder. Ta fram en åtgärdsplan. (12 - PTS har rätt att föreskriva) Vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för risker som hotar säkerheten (13 - PTS har rätt att föreskriva) Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter (14 - PTS har rätt att föreskriva)

MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8)

Summariskt om föreskrifternas innehåll Övergripande krav på systematiskt och riskbaserat informationssäkerhetsarbete (5-6 ) Närmare krav på informationssäkerhetsarbete (7-9 ) Särskilt om nätverk och informationssystem (10-12 ) Säkerställande av uppfyllelse av informationssäkerhet i enlighet med nätverks och informationssystems identifierade behov Incidenthantering Kontinuitetsplanering

Reglernas omfattning (1-2 ) Systematiskt och riskbaserat informationssäkerhetsarbete för leverantörer av samhällsviktiga tjänster Nätverk och informationssystem som används för att tillhandahålla samhällsviktiga tjänster, Även utkontrakterade nätverk och informationssystem. Utkontraktering Innan utkontraktering, ska risker för den samhällsviktiga tjänsten identifieras och hanteras. De säkerhetsåtgärder som den externa aktören ska vidta ska regleras i avtal.

Systematiskt och riskbaserat informationssäkerhetsarbete (5 ) Med stöd av ledningssystem för informationssäkerhet ISO- 27001 och ISO-27002 eller motsvarande utformas och samordnas utifrån organisationens behov vara styrande avseende informationshantering i nätverk och informationssystem dokumenteras

Organisatoriska åtgärder (6 ) Utifrån identifierade risker och behov 1. tydliggöra ledningens och övrigas ansvar i informationssäkerhetsarbetet, 2. tilldela nödvändiga resurser, mandat och befogenheter för informationssäkerhetsarbetet, samt 3. informationssäkerhetsarbetet ska regelbundet och vid behov utvärderas och anpassas. Arbetet ska dokumenteras.

Närmare krav på informationssäkerhetsarbetet (7 ) Upprätta en informationssäkerhetspolicy ledningens målsättning med och inriktning för organisationens informationssäkerhetsarbete framgår Upprätta interna regler samt övrigt stöd som krävs för organisationens informationssäkerhetsarbete.

Närmare krav på informationssäkerhetsarbetet (8 ) 1. Informationsklassning 5. Uppföljning Dokumenterat arbetssätt för sitt informationssäkerhetsarbete som stöd för att genomföra: 1. informationsklassning - med utgångspunkt i vilka konsekvenser som kan uppkomma vid brister i konfidentialitet, riktighet och tillgänglighet, 2. riskanalys för organisationens information, nätverk och informationssystem, 3. utifrån genomförd informationsklassning och riskanalys införa ändamålsenliga och proportionella säkerhetsåtgärder, 4. Säkerhetsåtgärder 4. uppföljning och utvärdera säkerhetsåtgärder i syfte att vid behov anpassa skyddet av informationen, samt 5. dokumentation av vidtagna åtgärder enligt punkt 1-4. 2. Riskanalys 3. Infoklassning & riskanalys

Regler och arbetssätt för säkerställande av medarbetarnas kunskap om säker hantering av information (9 ) Hålla relevanta interna regler och stöd kända för medarbetarna. Regelbundet och utifrån behov och arbetsuppgifter, uppdatera medarbetarnas kompetens genom utbildning, informationsinsatser och övning. Följa upp och utvärdera organisationens förmåga att förmedla kunskap till medarbetarna om säker hantering av information

Regler och arbetssätt för nätverk och informationssystem (10 ) Regler och arbetssätt så att samtliga nätverk och informationssystem för samhällsviktiga tjänster uppfyller identifierade behov av informationssäkerhet. Drift och förvaltning över tid, arkitektur samt sammankoppling mot andra nätverk och informationssystem ska särskilt beaktas. Arbetet ska dokumenteras.

Incidenthantering och dragande av lärdomar (11 ) Ha dokumenterade regler och arbetssätt för att upptäcka och vidta åtgärder för att minimera konsekvenser av incidenter och avvikelser avseende informationshanteringen i nätverk och informationssystem som används för att tillhandahålla samhällsviktiga tjänster. Efter avslutad incidenthantering -> identifiera grundorsaker bakom inträffade incidenter och avvikelser samt vidta åtgärder för att förhindra att liknande incidenter och avvikelser inträffar igen.

Kontinuitetsplanering inkl. anpassning (12 ) Ha dokumenterade regler och arbetssätt som tydliggör hur leverantören identifierar behovet av kontinuitet för den samhällsviktiga tjänsten, förmågan att upprätthålla kontinuitet vid incidenter säkerställs och övas avseende information, informationssystem och nätverk samt Utvärdering och anpassning av arbetet i syfte att minska effekten av en incidents negativa inverkan på den samhällsviktiga tjänsten.

Områden PTS kan komma att föreskriva om eller granska (1/3) Riskanalyser (12 NIS-lagen) Kontinuitetshantering (14 NIS-lagen) Ändamålsenliga, proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i NIS (13 NIS-lagen), t.ex: Driftsorganisation (produktion, drift, förvaltning) Förändringshantering/change management Logiskt skydd mot informationssäkerhetsincidenter och attacker Övervakning, loggning och logguppföljning Kompetens och kompetensförsörjning

Tekniska åtgärder namnservrarnas tekniska lösning (2/3) Upprättande av en robust DNS-arkitektur bl.a. genom redundanta namnservrar, redundanta internetanslutningar från minst ett par internetoperatörer, användning av anycast-adressering, namnservrarnas och internetanslutningars kapacitet (reservkapacitet), korrekt uppsättning av namnservrar (installation samt konfiguration), upprättande av renodlad datormiljö för namnservrar, som utgörs av ett dedikerat nätsegment fritt från servrar och klienter som inte har med den operativa verksamheten att göra samt skydd.

Säkerställande av korrekta uppgifter exempel (3/3) Organisatoriska och tekniska säkerhetsåtgärder för säkerställande av korrekta uppgifter i relevanta register, databaser och zonfil Rutiner samt system för behörighet- och åtkomstkontroll inkl. uppföljning Användning av standardiserat och säkert förfarande vid registrering och förändring av domännamnsuppgifter hos registrarer (EPP etc.) Användning av DNSSEC och rutiner för nyckelhantering och validering av DNSSEC Säker produktion och uppdatering av zonfil Säker distribution och tillgängliggörande av uppdaterad zonfil Hur ofta en ny zonfil produceras och tillgängliggörs Genomförande av relevanta tester och kontroller vid förändringshantering (t.ex. i samband med produktion och distribution av uppdaterad zonfil) Rollbackplaner, etablerade kontaktvägar till relevanta DNS-leverantörer

Digitala tjänster

Säkerhetskrav NIS-lagen NIS-lagen tekniska och organisatoriska åtgärder som är ändamålsenliga och proportionella och som hanterar risker som hotar säkerheten i nätverk och informationssystem (15 ) åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem - säkerställa kontinuiteten i tjänsterna. (16 )

Säkerhetskrav NIS-förordningen Vid efterlevnaden av 15 i lagen ska följande beaktas 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning, och 5. efterlevnad av internationella standarder.

Genomförandeförordningen #1 Artikel 2 ställer krav på säkerheten 1. Säkerheten i system och anläggningar : Informationssäkerhetspolicy, riskanalys, driftsäkerhet etc. Fysisk säkerhet och miljösäkerhet Försörjningstrygghet (policy för tillgänglighet och spårbarhet) Åtkomstkontroll för nät- och informationssystem 2. Incidenthantering Ha processer och förfaranden för upptäckt Processer och metoder för rapportering Hantering enligt fastställda förfaranden Bedömning av allvarlighetsgrad och lärande

Genomförandeförordningen #2 3. Hantering av driftskontinuitet Upprättande och användning, övning av beredskapsplaner Kapacitet för katastrofberedskap 4. Övervakning, revision och testning Av att nät och informationssystem fungerar som avsett Inspektion och kontroller av effektivitet och ändamålsenlighet Testning 5. Efterlevnad av internationella standarder 6. Dokumentation av säkerhetsåtgärder för tillsynen

Rapportering av incidenter.se

Vad gör PTS med incidentrapporterna? 1 PTS tar emot rapport och granskar innehållet 2 Rapporten hanteras och handläggs 3 PTS gör en sekretessprövning för varje rapport 4 PTS bedömer om tillsyn ska inledas

PTS kommande arbete med NIS.se

PTS kommande arbete med NIS Samverkan och information Bygga upp kunskap om bransch och tjänster Etablera kontaktvägar och forum för dialog Samverka med andra myndigheter nationellt och inom EU Reglering och tillsyn Utreda oklarheter och gränsdragningsfrågor Tillsyn av anmälningsplikt Föreskrifter om säkerhetsåtgärder Tillsyn av grundläggande säkerhetsarbete

Avslutning Mer information https://www.pts.se/nis https://www.msb.se/nis https://www.informationssake rhet.se/ Frågor, mejla pts@pts.se fraga.nis@msb.se

pts.se/nis.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss