Hem Lösning NIS-direktivet
Knowledge Base

NIS-direktivet

Knowledge Base

Vad betyder det?

NIS-direktivet påverkar ett stort antal organisationer som har en samhällsviktig verksamhet. Direktivet har införts för att göra ett digitaliserat samhälle mer robust mot störningar. Men vad du ska göra och vilka organisationer berörs?

NIS-direktivet beslutades av EU i juli 2016. NIS betyder Network Information System.
Varför NIS är viktigt har flera orsker.

Samhället omfattas allt mer av digitalisering, vilket kan medföra stora risker för människor, globaliseringen och de mer omfattande attackerna mot IT-system. Dessa attacker skapar inte bara ekonomiska konsekvenser och påverkan på organisationens varumärke, utan kan även få allvarliga konsekvenser för dig som privatperson. Ett av många scenarios är ett vattenverk som hackas och kan resultera i giftigt kranvatten.

Fokus för NIS är informationssäkerhet inom samhällsviktiga organisationer samt vissa digitala tjänster. Sedan april 2016 måste alla myndigheter arbeta systematiskt med informationssäkerhet och rapportera IT-incidenter till MSB. Med NIS-direktivet omfattas betydligt fler organisationer av dessa krav. Dessa organisationer finns inom följande områden, med ansvarig tillsynsmyndighet inom parantes.

  • Energi (Statens energimyndighet)
  • Transport (Transportstyrelsen)
  • Bankverksamhet (Finansinspektionen)
  • Finansmarknadsinfrastruktur (Finansinspektionen)
  • Hälso- och sjukvårdssektorn (Inspektionen för vård och omsorg)
  • Leverans och distribution av dricksvatten (Livsmedelsverket)
  • Digital infrastruktur (Post- och telestyrelsen)
  • Digitala tjänster (Post- och telestyrelsen)

I Sverige är det lag ”(2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster” med tillhörande förordning som reglerar området. Lagen trädde ikraft den 1 augusti 2018.

Vad ska man göra? 

  1. Identifiera om din organisation är berörd.
    Kriterierna är följande: 

För leverantörer av samhällsviktiga tjänster:

  • Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet
  • Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem
  • En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För leverantörer av digitala tjänster:

  • Har sitt huvudkontor i Sverige
  • Har en årsomsättning som överstiger 10 miljoner euro
  • Har 50 eller fler anställda
  1. Om du är berörd så ska du anmäla att din organisation ska följa NIS
  2. Implementera ett systematiskt informationssäkerhetsarbete. Underskatta inte omfattningen av denna arbetsuppgift om ni inte redan uppfyller detta krav. Metodstöd finns på MSB:s webbplats, informationssäkerhet.se. Om ni vill ta detta ett steg längre så kan ni certifiera er organisation mot ISO 27001.
  3. Som en del av det systematiska informationssäkerhetsarbetet ska ni också rapportera in IT-incidenter. Detta kan göras redan idag, men blir obligatoriskt per 1 mars 2019. Den 20 december förtydligar MSB vilka IT-incidenter som ska rapporteras in och hur detta ska göras

2018-08-03

Vet du inte vad du behöver?

Kontakta oss så berättar vi mer.