Har du koll på NIS-direktivet?

NIS-direktivet genomfördes 2018 i Sverige och för att direktivet skulle bli giltigt i svensk rätt behövde det införlivas i den svenska rättsordningen.

Därför trädde en ny lag i kraft 1 augusti 2018, lagen om informations-säkerhet (2018:1174). Lagen gäller för leverantörer av samhällsviktiga och digitala tjänster och ställer nya högre krav gällande säkerhet.

Syftet med NIS-direktivet

Direktivet är identiskt för hela EU och även lagarna i respektive land som är baserade på direktivet har stora likheter. Syftet med direktivet är att uppnå en hög gemensam nivå på säkerheten i nätverk och informations-system för samhällsviktiga och digitala tjänster inom unionen. På så vis ska vi stärka den inre marknaden och minska sårbarheten för centrala samhällstjänster.

Dina skyldigheter enligt NIS

Alla samhällsviktiga företag har nu 6 huvudsakliga skyldigheter gällande informationssäkerhet:

  1. Snarast anmäla sig till sin tillsynsmyndighet
  2. Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
  3. Årligen analysera verksamhetens risker och upprätta åtgärdsplaner. Dessa ska sedan ligga till grund för val av rätt säkerhetsåtgärder.
  4. Vidta ändamålsenliga och proportionella åtgärder för att hantera risker som hotar säkerheten
  5. Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
  6. Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.

Vill du läsa mer om NIS-direktivet, vilka det gäller och vad som behöver göras så kan du göra det här.

(För mer specifik information om direktivet i Sverige, se MSB’s hemsida).

Har du koll på hur man arbetar systematiskt med informationssäkerhet?

Enligt MSB’s årsrapport om it-incidentrapportering 2018 så är det fortfarande flera myndigheter som inte arbetar på ett systematiskt och riskbaserat sätt med informationssäkerhet, vilket egentligen krävs av dem.

Vi kan förstå det. Att arbeta med ett systematiskt informationssäkerhetsarbete och välja rätt säkerhetsåtgärder kan kännas som ett stort och svårt arbete när man inte har erfarenhet av det. Dessutom krävs tillräckligt med resurser för att leva upp till kraven. Frågan om informationssäkerhet behöver därmed prioriteras av ledning och beslutsfattare.

På Advenica har vi lång erfarenhet av att analysera säkerheten för lösningar och produkter med det specifika syftet att identifiera nödvändiga motåtgärder och åtgärder för att säkerställa stabilitet. Därför kan vi hjälpa dig att se till att den data och skyddsvärda information som du äger och hanterar är väl skyddad. I samarbete med dig utvärderar våra experter kraven för att säkerställa att rätt säkerhetsnivå definieras utifrån identifierade utmaningar och en hotanalys.

Advenicas risk- och säkerhetsanalys hjälper till att identifiera problemen samt konkretisera och prioritera de nödvändiga åtgärderna.