Vad är NIS-direktivet och hur påverkas vi?

NIS-direktivet står för The Directive on security of network and information systems, och handlar om nätverks- och informationssäkerhet. Direktivet kommer att beröra alla myndigheter, kommuner, landsting och företag som har hand om samhällskritisk infrastruktur. Att det är ett direktiv innebär att det ska anpassas till lagstiftningen i varje medlemsstat i EU och kan därmed se annorlunda ut beroende på vilket land det handlar om. NIS-direktivet infördes i Sverige den första augusti 2018.

Vad innebär samhällskritisk infrastruktur?

Med samhällskritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar de sju sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Genom att förbättra säkerheten i dessa sektorer ska samhällets skydd mot yttre hot höjas.  

Varför finns NIS-direktivet?

EU är oroliga över samhällets uppvisade sårbarhet gentemot it-hot, och de vill nu höja skyddsnivån när det handlar om kritisk infrastruktur. Det har de senaste åren skett ett antal gånger att hackare kommit åt kritisk infrastruktur. Ett exempel är  Göteborgs hamn där produktionsnäten slogs ut sommaren 2017. Det kostade staden ungefär 230 miljoner kronor.

Vad är skillnaden mellan GDPR och NIS?

Många tror att likheterna är stora mellan GDPR och NIS-direktivet, men faktum är att skillnaderna är större än likheterna. Där GDPR handlar om persondata handlar NIS – som tidigare nämnt – om att skydda de kritiska samhällsfunktionerna. En annan skillnad är bötesbeloppen. GDPR har höga bötesbelopp till aktörer som missköter sig, men när det gäller NIS är de inte lika höga. Men det finns självklart aktörer som kommer att beröras av både NIS och GDPR.

Hur efterföljer man direktivet?

Alla aktörer som sysslar med samhällskritiska tjänster måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser. Värt att nämna är också att en incident inte bara behöver handla om aktörsdrivna hot utan kan även vara icke uppsåtliga gärningar. Det kan till exempel vara en uppdatering av ett styrsystem som man inte först gjort i en testmiljö, och således leder till en driftstörning eller incident. Två exempel på detta är de äldre sårbarheterna Meltdown och Spectre som ju inte var uppsåtliga handlingar, men som ändå skulle omfattas av incidentrapporteringen. Och just rapporteringen är en central del i hela direktivet.