NIS-direktivet - är din organisation redo?

NIS skapar ett säkrare näringsliv och samhälle

Dagens samhälle är mer sårbart än någonsin tidigare eftersom grundläggande funktioner som tillgång till energi, vatten, pengar, transporter sker genom digitala informationssystem och nätverk. Ett enda avbrott kan få förödande konsekvenser för enskilda verksamheter och ytterst för hela samhället. Därför behöver vi ställa högre krav på digitala tjänsters säkerhet och här kommer NIS in i bilden.

De senaste åren har vi sett hur attacker stört ut elnät i andra länder och hur intrång med kopplingar till främmande makt ägt rum världen över. Det uppskattade värdet av stulen intellektuell egendom uppgick vid ett enda tillfälle till tre miljarder dollar. Vi ser också hur mängder med data stjäls dagligen för att först säljas på Darknet och sedan dumpas på publika webbsidor öppna för vem som helst att ladda ned. 2017 angreps många företag i NotPetya-attacken och där verksamheter slogs ut genom att data raderades. Det här är bara några exempel på händelser och risker länkade till den snabba digitaliseringen för med sig.

Vad är NIS?

Som en reaktion på utvecklingen antog EU NIS-direktivet (The Directive on Security of Network and Information Systems) under 2016, ett regelverk som omvandlas till nationella lagkrav hos samtliga medlemsstater. Syftet med direktivet är att etablera en säkerhetsstandard inom den digitala världen som skyddar den infrastruktur som bygger upp samhälle och ekonomi. Lagstiftningen ställer främst krav på att arbeta systematiskt och riskbaserat med informationssäkerhet. Sverige har antagit direktivet genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Myndigheten för samhällsskydd och beredskap har sedan tillsammans med de sju tillsynsmyndigheterna tagit fram närmare föreskrifter som alla berörda ska följa.

Om din organisation levererar samhällsviktiga tjänster inom sektorerna energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten eller digital infrastruktur, då omfattas ni sannolikt av NIS och behöver följa dess regler.

Vad behöver ni göra?

Organisationer i Sverige som levererar tjänster inom de utpekade områdena har lagkrav på sig att identifiera sig som leverantör av samhällsviktig tjänst och att anmäla detta till respektive sektors tillsynsmyndighet. Att inte följa lagen och de krav som ställs kan bli dyrt både för er organisation och för samhället. Utöver vad det skulle kunna innebära förtroendemässigt gentemot kunder kan böter på upp till 10 miljoner kronor utfärdas, samtidigt som det finns risk för att samhällsviktiga funktioner slås ut.
 

Vill du veta mer?

Seminarier

Totalförsvar, NIS och ny säkerhetsskyddslag - aspekter av digitaliseringens samhällspåverkan.
Se seminariet här

Totalförsvar, NIS och ny säkerhetsskyddslag - aspekter av digitaliseringens samhällspåverkan
Onsdagen den 5 december 2018 kl. 07.45-09.20

Totalförsvar, NIS och ny säkerhetsskyddslag - aspekter av digitaliseringens samhällspåverkan
Onsdagen den 5 december 2018 kl. 07.45-09.20

Totalförsvar, NIS och ny säkerhetsskyddslag - aspekter av digitaliseringens samhällspåverkan
Onsdagen den 5 december 2018 kl. 07.45-09.20

PwC, Torsgatan 21, Stockholm

Vilka områden berörs
NIS innebär nya krav på alla som levererar samhällsviktiga tjänster inom de sju sektorerna:
  • Energi
  • Transport
  • Bank
  • Finans
  • Hälso- & sjukvård
  • Dricksvatten
  • Digital infrastruktur

5 steg för att möta lagstiftningen

1. Vad i er organisation är kritiskt?
Vilka delar i er organisation berörs av NIS-direktivet? För att kunna möta kraven från lagstiftningen behöver ni till att börja med skapa en medvetenhet och kunskap om organisationens informationssäkerhetsarbete. Arbetar ni riskbaserat och systematiskt? Ett första steg är att känna till organisationens kritiska system, nätverk och beroenden. Det är även viktigt att organisationen har förmåga att identifiera avvikande händelser och potentiella säkerhetsrisker i kritiska processer.

2. Har ni en effektiv incidenthantering?
Genom effektiv incidenthantering kan ni begränsa konsekvenserna av en oönskad händelse, snabbare komma tillbaka till ordinarie verksamhet och återställa berörda processer innan skadan blivit för stor. För att nå kraven att rapportera inträffad incident inom 72 timmar, måste er organisation ha standardiserade strukturer för rapportering av incidenter i de nätverk och informationssystem som stödjer samhällsviktiga tjänster.

3. Öva och testa
För att er organisation ska kunna upprätthålla förmågan att hantera incidenter krävs det även regelbundna övningar. Genom att kontinuerligt öva och testa tjänsters, informationssystems och nätverks möjlighet till återgång och återställning kan er verksamhet upprätthålla sin förmåga.

4. Spårbarhet
För att uppnå ett riskbaserat och systematiskt informationssäkerhetsarbete är det viktigt med spårbarhet inom er organisation. Det betyder att ni behöver upprätta rutiner och processer för att kontinuerligt dokumentera och följa upp era ställningstaganden och beslut kopplat till den samhällsviktiga verksamheten.

5. Uppföljning
För att säkerställa att er organisation möter lagstiftningen bör ni på regelbunden basis följa upp arbetet genom revision. Med hjälp av revisionen kan ni även uppmärksamma eventuella förbättringsmöjligheter och därmed ytterligare stärka organisationens informationssäkerhet.
 

Vad kan vi hjälpa er med?

PwC erbjuder skräddarsydda lösningar där vi utgår från lagstiftningens krav och er målsättning, för att på ett effektivt sätt anpassa er verksamhet till NIS. Här följer två exempel på våra metoder för att hjälpa kunder med NIS:

Metod 1: NIS-anpassning

PwC definierar vad i er verksamhet som är samhällsviktigt, kartlägger samhällsviktig leverans inklusive system och beroenden, samt tydliggör vilka incidenter som enligt lagkrav ska rapporteras till ansvariga myndigheter. Genom NIS-anpassningen finns även möjlighet att säkerställa kontinuitet i er organisations IT-tjänster, inte bara när det gäller krav för samhällsviktiga tjänster, utan även mot de affärsmässiga mål som er organisation har. Detta för att minimera avbrottstider, säkerställa informationssäkerhet i nätverk och system samt tillgodose kunders krav.

Metod 2: NIS mognadsmätning

PwC hjälper er att mäta cybersäkerhets- och informationssäkerhetsnivåerna mot bakgrund av bland annat NIS-kraven. Med en ökad förståelse för hur verksamheten ligger till kan ni ta effektivare beslut om hur organisationen bäst går vidare med NIS-anpassning. Metoden resulterar i en så kallad mognadsrapport och i en åtgärdsplan.

Arbetar er organisation redan idag med anpassning till NIS-direktivet eller behöver ni hjälp med att komma igång? Undrar ni kanske över vilka IT-resurser som berörs av incidentrapportering på grund av NIS? Kontakta oss för mer information om hur ni kan stärka verksamheten genom anpassning till NIS.
 

Kontakta oss

David Dymmel

Specialist Operational resilience, PwC Sverige

Tel 010-2126921

Följ oss i sociala medier

Vill du ha hjälp med din cyberstrategi?

Fyll i nedanstående formulär så återkommer vi till dig.

Tjänster mot stora företag och myndigheter

Cybertjänster mot små och medelstora företag

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Hide