NIS: Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

NIS: Informationssäkerhet för samhällsviktiga tjänster

EU:s nya NIS-direktiv (The Directive on security of network and information systems) syftar till att höja skyddsnivån när det gäller samhällskritisk infrastruktur och innebär att viktiga verksamheter måste visa upp att de löpande arbetar med säkerheten i sina IT-system. Under våren har en utredning om ett svenskt genomförande överlämnats till inrikesminister Anders Ygeman.

Kontakt:

Head of Information Protection and Business Resilience

KPMG i Sverige

Kontakt

Relaterat innehåll

Genrebild cybersäkerhet KPMG

I betänkandet SOU 2017:36 ”Informationssäkerhet för samhällsviktiga och digitala tjänster” föreslås en ny lag och en ny förordning om informationssäkerhet för vissa offentliga och enskilda leverantörer av samhällsviktiga tjänster. 

De berörda verksamheterna tillhandahåller tjänster inom sju sektorer; energi, transporter, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Även leverantörer av digitala tjänster omfattas. För att omfattas av förslagen krävs att tjänsten är beroende av nätverk eller informationssystem och att en incident skulle innebära en betydande störning.

Leverantörerna föreslås bland annat bli skyldiga att vidta tekniska och organisatoriska säkerhetsåtgärder och rapportera allvarliga IT-incidenter till MSB, Myndigheten för Samhällsskydd och Beredskap. En tillsynsmyndighet för varje sektor föreslås få ansvar för att övervaka att regelverket följs och att en ändamålsenlig säkerhetsnivå etableras och upprätthålls. Tillsynsmyndigheten ska också ha behörighet att besluta om sanktioner.

Ny lag och förordning om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster föreslås träda i kraft den 10 maj 2018.

 

Vad är bakgrunden till det nya direktivet?

– I samband med samhällets digitalisering ökar möjligheterna för illasinnade aktörer att påverka samhällsviktiga förmågor. I syfte att motverka och minimera konsekvenserna av diverse avbrott och säkerhetsincidenter ska organisationer inom de sju sektorerna upprätthålla en god informationssäkerhetsnivå, säger Visar Lapashtica, Manager vid Cyber Security på KPMG.


Hur påverkas man som verksamhet i praktiken?

– Direktivet innebär i praktiken att organisationen måste inventera informationstillgångar samt informationsflöden och implementera ett riskbaserat säkerhetsarbete. Vidare måste en god incidenthanteringsförmåga upprättas med fokus på att säkerställa verksamhetens kontinuitet. Det nya direktivet medför stora utmaningar för organisationer som i nuläget saknar en adekvat informationssäkerhetsnivå, det är därför viktigt att börja utreda vad direktivet innebär för den egna organisationen och hur stora utmaningarna kommer att bli, förklarar Visar Lapashtica.


Vad är de viktiga skillnaderna och eventuella likheterna med GDPR, EU:s nya dataskyddsförordning som också träder i kraft våren 2018?

– GDPR syftar till att förbättra medborgarnas rättigheter och organisationers skyldigheter gällande behandling av personuppgifter. Exempelvis rätten att bli bortglömd eller tydlig information om själva databehandlingen till individen. NIS-direktivet handlar mycket om robusthet i samhället och att identifiera de viktigaste tillgångarna och riskerna för en verksamhet, vilket kan vara något annat än behandlingen av personuppgifter. Det finns självklart vissa synergier om man redan i sitt GDPR-projekt identifierar eventuella överlappningar, förklarar Johan Björk, Head of Cyber Security på KPMG.

KPMG rankas som världsledande inom cybersäkerhet

KPMG rankas som världsledande inom cybersäkerhet

KPMG har fått högsta betyg av teknik- och marknadsundersökningsföretaget Forrester Research för sina tjänster inom informationssäkerhet.

Kontakta oss

 

Offertförfrågan

 

Skicka

KPMG: s nya digitala plattform

KPMG International har skapat en toppmodern digital plattform som förbättrar din upplevelse, optimerad för att upptäcka nytt och relaterat innehåll.

 
Läs mer