NIS: Informationssäkerhet för samhällsviktiga tjänster | KPMG | SE

NIS: Informationssäkerhet för samhällsviktiga och digitala tjänster

NIS: Informationssäkerhet för samhällsviktiga tjänster

EU:s NIS-direktiv (The Directive on security of network and information systems) syftar till att höja skyddsnivån när det gäller samhällskritisk infrastruktur och innebär att viktiga verksamheter måste börja arbeta mer systematiskt och riskbaserat med informationssäkerheten i sin IT-miljö. I mars 2018 fattade regeringen beslutet om den svenska tillämpningen. En ny lag föreslås träda i kraft den 1 augusti 2018.

1000

Kontakt:

Head of Information Protection and Business Resilience

KPMG i Sverige

Kontakt

Relaterat innehåll

Genrebild cybersäkerhet KPMG

Propositionen ”Informationssäkerhet för samhällsviktiga och digitala tjänster” (Prop. 2017/18:205) bygger på en offentlig utredning (SOU 2017:36) om hur NIS-direktivet ska införas i Sverige. Förutsatt att riksdagen (enligt plan i juni 2018) röstar igenom den nya lagen kommer den att reglera informationssäkerhet för vissa offentliga och enskilda leverantörer av samhällsviktiga tjänster.

De berörda verksamheterna tillhandahåller tjänster inom sju sektorer; energi, transporter, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Även leverantörer av digitala tjänster omfattas av lagen i de fall tjänsten är beroende av nätverk eller informationssystem och en incident skulle innebära en betydande störning.

Leverantörerna blir bland annat skyldiga att vidta tekniska och organisatoriska säkerhetsåtgärder och rapportera allvarliga IT-incidenter till MSB, Myndigheten för Samhällsskydd och Beredskap. En tillsynsmyndighet för varje sektor får ansvar för att övervaka att regelverket följs och att en ändamålsenlig säkerhetsnivå etableras och upprätthålls. Tillsynsmyndigheten ska också ha behörighet att besluta om sanktioner och viten.

Vad är bakgrunden till NIS-direktivet?
– I samband med samhällets digitalisering får nätverks- och informationssystem en alltmer central roll. Det ökande beroendet till den underliggande IT-miljön ökar möjligheterna för diverse aktörer att påverka samhällsviktiga förmågor. I syfte att motverka samhällets sårbarhet och minimera konsekvenserna av diverse avbrott och säkerhetsincidenter ska organisationer inom de sju sektorerna upprätthålla en god informationssäkerhetsnivå, säger Visar Lapashtica, Manager vid Cyber Security på KPMG.

Vad ska svenska företag och myndigheter göra för att förbereda sig?
– I samband med att NIS-direktivet genom den nya lagen införs i Sverige ställs nya krav på de myndigheter och företag som berörs. För att förbereda sig bör dessa utvärdera hur de jobbar med informationssäkerhetsfrågor i nuläget och om detta är tillräckligt. Ett systematiskt, riskbaserat säkerhetsarbete ska etableras inom organisationen i syfte att säkerställa att en tillräckligt god informationssäkerhetsnivå kan upprätthållas. En mognadsanalys över befintlig hantering är en bra början. Efter detta bör sedvanligt projektarbete bedrivas i syfte att utreda vilken skuld som finns samt hur identifierade gap och risker bäst omhändertas och mildras, förklarar Visar Lapashtica.

Vad är de viktiga skillnaderna och eventuella likheterna med GDPR, EU:s nya dataskyddsförordning som börjar gälla i slutet av maj 2018?
– GDPR syftar till att förbättra medborgarnas rättigheter och organisationers skyldigheter vad gäller behandling av personuppgifter. Exempelvis ska individen ha rätt att bli bortglömd och rätt till tydlig information om själva databehandlingen. NIS-direktivet handlar mycket om robusthet i samhället och att identifiera de viktigaste tillgångarna och riskerna för en verksamhet, vilket kan vara något annat än behandlingen av personuppgifter.

– Likheter finns i att både NIS-direktivet och GDPR medför striktare krav på ett systematiskt, riskbaserat informationssäkerhetsarbete och skyldighet att rapportera inträffade incidenter till utpekade tillsynsmyndigheter. Kraven på att tillfredsställa de grundläggande principerna konfidentialitet, integritet och tillgänglighet har de också gemensamt, förklarar Peter Lind, Head of Information Protection and Business Resilience på KPMG.

Kontakta oss

 

Offertförfrågan

 

Skicka