Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Dålig koll på NIS

NIS-direktivet har trätt i kraft sedan länge men engagemanget varierar beroende på sektor. Än så länge har bara ett fåtal aktörer inom hälsa- och sjukvård anmält att de omfattas av direktivet. Och nu börjar även tillsynsmyndigheterna att tröttna på att så få anmäler sig. 

Text Fredrik Adolfsson Foto Adobestock 13 februari 2019 säkerhet

ryggen på en liten flicka som håller en äldre man i sjukhussäng i handen.jpg

Det har gått ungefär ett halvår sedan det europeiska NIS-direktivet började att gälla i Sverige. Den 1 november trädde MSB:s föreskrifter om anmälan och identifiering av samhällsviktiga tjänster i kraft, och i mars 2019 börjar MSB:s föreskrifter om incidentrapportering att gälla. 

Den förstnämnda skriften innebär att de berörda aktörerna från och med 1 november själva måste anmäla sig till sin ansvariga myndighet. Och än så länge är det lite si och så med uppslutningen kring detta, vilket tillsynsmyndigheten Post- och Telestyrelsen (PTS) nu har tröttnat på. De har tillsynsansvar för områdena digital infrastruktur och digitala tjänster.

– Enligt NIS-reglerna är leverantörer av samhällsviktiga tjänster skyldiga att utan dröjsmål anmäla sin verksamhet. Vår bedömning är att fler företag borde anmäla sig, sett till antalet anmälningar som vi hittills har fått in, säger Erika Hersaeus, Post- och Telestyelsens nätsäkerhetsavdelning.

Problemen finns även inom hälso- och sjukvårdssektorn, menar David Dymmel, Senior Manager Cyber Security på PWC. 

– Den sektorn måste förmodligen röra sig om väldigt många vårdgivare, men än så länge så har bara ett fåtal anmält sig. Inom bank- och finanssektorn ser det bättre ut. Där har Finansinspektionen identifierat tolv aktörer som berörs av NIS, varav nio av dessa har anmält sig. 

Varför ser det ut så, David Dymmel?

– Det kan såklart finnas olika anledningar till varför det ser olika ut mellan sektorerna och jag har inget tydligt svar när det gäller just hälso- och sjukvårdssektorn. Aktörerna kanske inväntar förtydligande från sin tillsynsmyndighet, Inspektionen för vård och omsorg, IVO.

– Det kan också vara så att aktörerna inom hälso- och sjukvårdssektorn inte fullt ut är medvetna om vad den nya lagen innebär eller hur de ska angripa utmaningen med att anpassa sig. MSB:s rapport En bild av landstingens informationssäkerhetsarbete 2018 indikerar att många av aktörerna inom sektorn inte har rätt kompetens eller tillräckligt med resurser och tid avsatt för att kunna arbeta systematiskt och riskbaserat med informationssäkerhet.

Vad måste ske nu? 

– MSB:s rapport ger en rad rekommendationer till landstingen om hur de ska höja sin förmåga inom informationssäkerhet. När det kommer till anpassningen till den nya lagstiftningen måste första steget vara att ta reda på om de omfattas, vad i verksamheten som omfattas och sedan integrera och komplettera befintligt arbetssätt för att efterleva lagen.

– De flesta organisationer i Sverige har nyligen lagt mycket krut på att höja sin informationssäkerhetsnivå genom sitt GDPR-arbete. Detta arbete kan aktörerna med fördel dra nytta av även när det kommer till NIS-implementeringen.

Större aktörer mer vana

Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.

David Dymmel

Det är inte bara mellan olika sektorer som det kan finnas skillnader i NIS-förberedelserna. Tittar man generellt så har stora aktörer systematiskt arbetat med informationssäkerhet under en längre tid, så för dem blir inte direktivet nödvändigtvis någon större förändring.

– De måste först och främst lära sig vilka tjänster som omfattas av lagstiftningen, identifiera vad som är en NIS-incident, och hur man rapporterar in en sådan.

Men för mindre företag och organisationer så kan NIS bli en stor puckel att ta sig över. Där åsyftas bland annat mindre el- och energibolag och järnvägsföretag.

– Till exempel så finns det garanterat mindre transportaktörer än SJ som omfattas. De kanske tänker på informationssäkerhet till en viss grad men inte systematiskt. Och det är det som är svårast att nå upp till, för när blir det egentligen systematiskt? Alla måste ha en fungerande struktur med processer på plats och göra det kontinuerliga säkerhetsarbetet år efter år. Detta lever många inte upp till än.

Skillnader inom EU

Skillnader finns även mellan länderna inom EU. Tolv länder har än så länge inte införlivat NIS-direktivet, vilket kan innebära en längre uppförsbacke framöver.

– Här finns även en intressant aspekt för företag verksamma inom flera olika länder. Där är en vanlig frågeställning, än så länge utan 100-procentigt svar, huruvida de omfattas av lagstiftningen i alla länder de verkar i, eller om det räcker i det land de har sitt huvudkontor i. För NIS kan se olika ut beroende på var i Europa man befinner sig. Här vore en större klarhet på sin plats.

Det viktigaste för svenska företag och organisationer just nu är att ta reda på om man berörs av NIS-direktivet, menar David Dymmel. I så fall är det dags att anmäla sig till sin ansvariga myndighet. Men även om man inte omfattas så betyder inte det att man kan strunta i sin informationssäkerhet, utan det finns anledning att tänka över och ta ansvar kring dessa frågor ändå.

 Vi arrangerade ett seminarium om NIS för ett tag sedan och på plats fanns företag som sysslar med fjärrvärme och fjärrkyla. De berörs inte av direktivet men om deras verksamhet kraschar kan det säkerligen få samhällskonsekvenser ändå. Det engagemanget vill vi se ännu mer av.

 Avslutningsvis uppmanar jag alla aktörer att inte försöka uppfinna hjulet igen. Ta ett samlat grepp och analysera NIS och säkerhetsskydd på ett strukturerat sätt. Samarbeta mer och dra nytta av andra aktörers erfarenheter.

Rekommenderad läsning

tåg 960640.jpg

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

lastbil-pa-vag-fran-hamnen.jpg

Nollkoll på NIS

25 jun 2018 säkerhet

De nya GDPR-reglerna har fått stor uppmärksamhet. Men många företag behöver hantera ytterligare ett regelverk; NIS, Network and Information Security, där en ny lag förväntas börja gälla redan den 1 augusti i år. Om en majoritet av bolagen var väl förberedda för GDPR ser läget för NIS väldigt annorlunda ut, visar en ny undersökning.

lite hus i esklistuna.jpg
video

Kommunernas öppna hål

4 jul 2018 säkerhet

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

tjej klättrar i berg i ett grand canyon-liknande landskap.jpg

Säkerhetsåret 2018

20 dec 2018 säkerhet

Lösningar inom IoT står för en allt större del av hot och risker och medan hypen för kryptovalutor minskar så blir blockkedjor allt hetare och kan regleringar som GDPR vara en hjälp till ett säkrare samhälle. 

kammarkollegiet logga på en dörr.jpg

Ramavtal för molnet

27 feb 2019 säkerhet

Efter en förstudie så rekommenderar nu Statens inköpscentral vid Kammarkollegiet att det ska ske en ramavtalsupphandling för utländska molntjänster. Men först måste leverantörerna komma med tillräckligt bra och säkra lösningar.

tre par fötter på en strand.jpg

Slapp säkerhet i Sverige

26 feb 2019 säkerhet

Trots att oron över cyberbrott är stor bland svenska företagsledare så är beredskapen lägre än i många länder. Bara 69 procent känner sig väl förberedda på cyberattacker. Det visar en ny undersökning från PWC.

flygplan-lamnar-arlanda.jpg

MSB släcker cyberbränder

23 jul 2018 säkerhet

I takt med att samhällskritiska funktioner som järnväg och elnät privatiseras förändras också kraven på säkerhet för offentliga och privata aktörer men lika viktigt är insatser för cybersäkerhet. Det menar Dan Eliasson, generaldirektör på MSB som nu tar NIS-direktivet till hjälp för att utveckla en sådan funktion. 

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

vantar-pa-tunnelbanan.jpg

GDPR-hot på tuben

7 dec 2018 säkerhet

Datainspektionen ska granska hur SL, Stockholms lokaltrafik, vill använda kroppsburna kameror för biljettkontrollanterna i lokaltrafiken.