Krav på ökad säkerhet och rapportering – nu kommer NIS-direktivet

Vid det här laget har de flesta hört talas om GDPR – dataskyddsförordningen som i grunden ska förändra sättet som företag samlar in, lagrar och använder personuppgifter på. Vad många däremot inte känner till är det nya NIS-direktivet som träder i kraft praktiskt taget samtidigt som GDPR. Tanken med direktivet är att det ska höja skyddsnivån för samhällsviktiga och digitala tjänster. I den här artikeln reder vi ut begreppen kring EU-direktivet som träder i kraft redan den 10 maj 2018.

NIS ökar skyddet för ”samhällskritisk infrastruktur”

NIS-direktivet (directive on security of network and information systems) har för avsikt att höja EU-medlemsstaternas skyddsnivå i fråga om samhällskritisk infrastruktur och därför omfattas sektorerna:

– Energi
– Transport
– Bank/finans
– Hälso- och sjukvård
– Dricksvattenförsörjning
– Digital infrastruktur

För att omfattas av bestämmelserna krävs att tjänsten som verksamheten tillhandahåller är beroende av nätverk eller informationssystem och att en incident skulle medföra en betydande störning. Även leverantörer av digitala tjänster omfattas av direktivet.

Till skillnad från en lag eller förordning kan ett direktiv sällan åberopas i domstol. Det är istället upp till berörda myndigheter att bestämma tillvägagångssättet för genomförandet och bestämmelserna blir bindande först om de införlivats i lagstiftningen. Därför kan tillämpningen skilja sig åt från land till land.

Enligt NIS ska Sverige och andra EU-stater verkställa regelverket senast 10 maj 2018. De verksamheter som omfattas står nu inför en mängd olika utmaningar – inte minst med tanke på att tiden är knapp. Resurser och kompetens på området är bristfälliga och allt fler aktörer inom de berörda sektorerna kräver större tydlighet kring riktlinjer och rutiner för exempelvis incidentrapportering.

Skillnaderna större än likheterna mellan NIS och GDPR

Orsakerna till att NIS och GDPR faller under olika direktiv är att de berör två helt olika områden. GDPR handlar om personuppgifter, medan NIS är kopplat till infrastrukturell säkerhet i nätverk och IT-system. Visserligen omfattas somliga aktörer av båda regelverken, men det är då ofta olika avdelningar inom samma verksamhet som berörs.

I takt med ökad användning av IT i samhället ökar även antalet sårbarheter. Trots detta sker i nuläget ingen systematisk identifiering eller hantering av IT-incidenter i samhällsviktiga verksamheter. NIS-direktivet innebär därför ökade krav på att såväl offentliga verksamheter som privata företag inom ovan nämnda sektorer ska vidta utökade säkerhetsåtgärder och rapportera IT-incidenter till Myndigheten för samhällsskydd och beredskap (MSB). Dessutom ska de sex myndigheter som ansvarar för verksamheterna inom respektive sektor utfärda föreskrifter och utöva tillsyn:

– Statens energimyndighet
– Transportstyrelsen
– Finansinspektionen
– Inspektionen för vård och omsorg
– Livsmedelsverket
– Post- och telestyrelsen

Säkra uppkopplingen med VPN

En grundläggande faktor för hur skyddad en IT-baserad infrastruktur är, oavsett om verksamheten är samhällskritisk eller ej, är att den uppkoppling som används är säker. Det handlar bland annat om att uppkopplingen ska fungera även om den primära uppkopplingen går ner. En redundant uppkoppling som tar över är då ofta det bästa alternativet. En annan aspekt på säkerhet är att ingen ska kunna ta sig in i nätverket på grund av sårbarheter. Ett privat nätverk, VPN, som är separat och isolerat från all annan trafik inom nätverket är ett sätt att stärka säkerheten.

För Net1:s kunder kommer frågan om uppkoppling inte att utgöra en utmaning utan vi kan redan idag erbjuda säker uppkoppling genom mobilt VPN och redundans. Vill du veta mer om hur du kan NIS-säkra din uppkoppling? Läs mer om VPN här eller kontakta oss direkt igenom formuläret här under.