Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Dålig koll på NIS

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig. 

Text Fredrik Adolfsson Foto Adobestock 13 februari 2019 säkerhet

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Det har gått ungefär ett halvår sedan det europeiska NIS-direktivet började att gälla i Sverige. Den 1 november trädde MSB:s föreskrifter om anmälan och identifiering av samhällsviktiga tjänster i kraft, och i mars 2019 börjar MSB:s föreskrifter om incidentrapportering att gälla. 

Den förstnämnda skriften innebär att de berörda aktörerna från och med 1 november själva måste anmäla sig till sin ansvariga myndighet. Och än så länge är det lite si och så med uppslutningen kring detta, vilket tillsynsmyndigheten Post- och Telestyrelsen (PTS) nu har tröttnat på. De har tillsynsansvar för områdena digital infrastruktur och digitala tjänster.

– Enligt NIS-reglerna är leverantörer av samhällsviktiga tjänster skyldiga att utan dröjsmål anmäla sin verksamhet. Vår bedömning är att fler företag borde anmäla sig, sett till antalet anmälningar som vi hittills har fått in, säger Erika Hersaeus, Post- och Telestyelsens nätsäkerhetsavdelning.

Problemen finns även inom hälso- och sjukvårdssektorn, menar David Dymmel, Senior Manager Cyber Security på PWC. 

– Den sektorn måste förmodligen röra sig om väldigt många vårdgivare, men än så länge så har bara ett fåtal anmält sig. Inom bank- och finanssektorn ser det bättre ut. Där har Finansinspektionen identifierat tolv aktörer som berörs av NIS, varav nio av dessa har anmält sig. 

Varför ser det ut så, David Dymmel?

– Det kan såklart finnas olika anledningar till varför det ser olika ut mellan sektorerna och jag har inget tydligt svar när det gäller just hälso- och sjukvårdssektorn. Aktörerna kanske inväntar förtydligande från sin tillsynsmyndighet, Inspektionen för vård och omsorg, IVO.

– Det kan också vara så att aktörerna inom hälso- och sjukvårdssektorn inte fullt ut är medvetna om vad den nya lagen innebär eller hur de ska angripa utmaningen med att anpassa sig. MSB:s rapport En bild av landstingens informationssäkerhetsarbete 2018 indikerar att många av aktörerna inom sektorn inte har rätt kompetens eller tillräckligt med resurser och tid avsatt för att kunna arbeta systematiskt och riskbaserat med informationssäkerhet.

Vad måste ske nu? 

– MSB:s rapport ger en rad rekommendationer till landstingen om hur de ska höja sin förmåga inom informationssäkerhet. När det kommer till anpassningen till den nya lagstiftningen måste första steget vara att ta reda på om de omfattas, vad i verksamheten som omfattas och sedan integrera och komplettera befintligt arbetssätt för att efterleva lagen.

– De flesta organisationer i Sverige har nyligen lagt mycket krut på att höja sin informationssäkerhetsnivå genom sitt GDPR-arbete. Detta arbete kan aktörerna med fördel dra nytta av även när det kommer till NIS-implementeringen.

Större aktörer mer vana

Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.

David Dymmel

Det är inte bara mellan olika sektorer som det kan finnas skillnader i NIS-förberedelserna. Tittar man generellt så har stora aktörer systematiskt arbetat med informationssäkerhet under en längre tid, så för dem blir inte direktivet nödvändigtvis någon större förändring.

– De måste först och främst lära sig vilka tjänster som omfattas av lagstiftningen, identifiera vad som är en NIS-incident, och hur man rapporterar in en sådan.

Men för mindre företag och organisationer så kan NIS bli en stor puckel att ta sig över. Där åsyftas bland annat mindre el- och energibolag och järnvägsföretag.

– Till exempel så finns det garanterat mindre transportaktörer än SJ som omfattas. De kanske tänker på informationssäkerhet till en viss grad men inte systematiskt. Och det är det som är svårast att nå upp till, för när blir det egentligen systematiskt? Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.

Skillnader inom EU

Skillnader finns även mellan länderna inom EU. Tolv länder har än så länge inte införlivat NIS-direktivet, vilket kan innebära en längre uppförsbacke framöver.

– Här finns även en intressant aspekt för företag verksamma inom flera olika länder. Där är en vanlig frågeställning, än så länge utan 100-procentigt svar, huruvida de omfattas av lagstiftningen i alla länder de verkar i, eller om det räcker i det land de har sitt huvudkontor i. För NIS kan se olika ut beroende på var i Europa man befinner sig. Här vore en större klarhet på sin plats.

Det viktigaste för svenska företag och organisationer just nu är att ta reda på om man berörs av NIS-direktivet, menar David Dymmel. I så fall är det dags att anmäla sig till sin ansvariga myndighet. Men även om man inte omfattas så betyder inte det att man kan strunta i sin informationssäkerhet, utan det finns anledning att tänka över och ta ansvar kring dessa frågor ändå.

 Vi arrangerade ett seminarium om NIS för ett tag sedan och på plats fanns företag som sysslar med fjärrvärme och fjärrkyla. De berörs inte av direktivet men om deras verksamhet kraschar kan det säkerligen få samhällskonsekvenser ändå. Det engagemanget vill vi se ännu mer av.

 Avslutningsvis uppmanar jag alla aktörer att inte försöka uppfinna hjulet igen. Ta ett samlat grepp och analysera NIS och säkerhetsskydd på ett strukturerat sätt. Samarbeta mer och dra nytta av andra aktörers erfarenheter.

Rekommenderad läsning

El Nat Btea
video
Ett samarbete mellan HPE och Voister

NIS-säkert elbolag

27 nov 2020 digit

BTEA, som är verksamma i Jämtland, Härjedalen och Medelpad, har börjat använda sig av HPE Simplivity. Infrastrukturen har ökat säkerheten och effektiviteten och hjälpt bolaget att bli förenligt med NIS-direktivet.

Ms Corona 960640

MS plan för säkerhet

10 nov 2020 säkerhet

Microsoft vill göra det enklare att ha koll på regler och förordningar samt upptäcka och svara på cyberattacker. Som en följd av coronapandemin lanserade man på Ignite ett nytt verktyg för regelefterlevnad och ett XDR-skydd som tar hand om bland annat appar, moln och IoT-enheter.

Kommun 960640
video
Ett samarbete mellan Fortinet och Voister

Fortinet säkrar kommunen

28 sep 2020 säkerhet

Cyberattacker mot offentlig sektor växer. Med Fortinets kommundesign kan kommuner skydda sig och samtidigt möta interna och externa krav. Det är möjligt genom segmentering, zero trust och visibilitet i hela nätverket.

Ansiktsigenkänning 960640

Grönt för igenkänning

30 jun 2020 säkerhet

Datainspektionen har beslutat att tillåta anonym ansiktsigenkänning. Tanken är att tekniken ska göra det lättare att förstå kundbeteenden i fysisk handel.

liten bil en bubbla mot blå bakgrund.jpg

Google vill reglera AI

21 jan 2020 säkerhet

Chefen för Googles moderbolag Alphabet, Sundar Pichai, vill se en reglering för AI-tekniken. Det skriver han i en debattartikel i Financial Times.

livboj ligger på vattenytan.jpg
ett samarbete med ibm

IBM hindrar WannaCry

18 dec 2019 säkerhet

Antalet cyberattacker ökar snabbt mot kommuner, regioner och annan samhällskritisk verksamhet. I regel tar det 279 dagar att upptäcka och hantera ett dataintrång. IBM:s it-säkerhetsplattform ger ett förebyggande skydd mot cyberattacker.

krimvarden.jpg

Ny koll av myndigheter

11 dec 2019 säkerhet

Nu ska Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket granskas för att se om de har tillräckliga rutiner för att detektera och rapportera incidenter rörande personuppgifter. 

slottsvakter i stockholm.jpg
ett samarbete med ibm

Så säkras superanvändaren

15 nov 2019 säkerhet

Enligt MSB:s kommande vägledning är skyddet av privilegierade konton helt avgörande mot cyberattacker. Med IBM:s Privileged Access Management-plattform kan varje organisation överträffa de högsta säkerhetskraven.

flygplan flyger på blå himmel.jpg (1)

SKL:s guide till molnet

6 nov 2019 säkerhet

För att lättare kunna fatta rätt beslut om molntjänster har SKL tagit fram en vägledning för kommuner och regioner. Guiden omfattar både säkerhetsmässiga och juridiska avvägningar.