Viktiga grundläggande funktioner i vårt samhälle såsom energi, vatten, pengar och transporter är idag beroende av digitala informationssystem och nätverk. Avbrott och störningar i dessa system kan få oerhörda konsekvenser för hela samhället. Därför behöver vi ställa högre krav på de verksamheter som tillhandahåller vårt samhälles mest kritiska tjänster, och här kommer NIS-direktivet in i bilden.

NIS finns för att alla medlemsstater i europeiska unionen ska ha samma höga gemensamma nivå på säkerhet i nätverk och informationssystem för samhällskritiska tjänster. Direktivets krav syftar till att skapa en tåligare och mer driftsäker infrastruktur i samhället. NIS är en förkortning för Network and Information Systems och direktivet trädde i kraft i augusti 2018.

Bakgrunden till direktivet är samhällets digitala utveckling och vår ökade informationsspridning som ringat in nya risker och kritiska områden. Idag finns obegränsade tillfällen för hackare, kriminella och statsstödda att attackera organisationers infrastruktur. Genom direktivet höjs kraven på säkerhetsnivån hos de organisationer som utför samhällskritiska tjänster för att möta denna riskbild.

NIS direktivet innebär rent praktiskt ett större informationssäkerhets krav på samhällskritiska tjänster gällande integritet och tillgänglighet. Kraven innefattar rapportering, riskhantering och klassificering för att samhällskritiska organisationer ska förbättra och höja beredskapen emot attacker.

Om din verksamhet utför samhällskritiska tjänster så omfattas ni förmodligen av direktivets krav, och har då som skyldighet att anmäla detta till er tillsynsmyndighet. Om ni inte följer de regler och förskrifter som lagen kräver så kan ni bötfällas med sanktionsavgifter på upp till 10 miljoner kronor.

Vad behöver ni göra för att möta kraven?

  1. Lär känna er organisation

Börja med att göra en nulägesanalys av er verksamhet och era befintliga processer och kartlägg vilka av dessa som berörs av NIS-direktivet. Hur arbetar ni för att identifiera era risker, kritiska system och nätverk och hur går ni tillväga om störningar och kritiska avbrott sker?

  1. Utvärdera er förmåga till återställning

NIS-direktivet kräver att er organisation ska rapportera inträffade incidenter inom 72 timmar. Detta betyder att er organisation måste ha en god förmåga att hantera inträffade incidenter genom standardiserade strukturer för både rapportering och krishantering. Det bästa sättet för att utvärdera och öva upp er återställningsförmåga är att genomföra praktiska övningar med incidenter för att undersöka er hantering och rapportering av dessa.

  1. Spårbarhet & Uppföljning

För att uppnå ett bra informationssäkerhetsarbete behöver ert arbete vara spårbart och kunna följas upp. Det är därför viktigt att ni arbetar för att implementera rutiner och processer som gör det enkelt att dokumentera, följa upp och revidera ert arbete.

Behöver ni hjälp för att efterleva NIS-direktivet? Vi erbjuder skräddarsydda lösningar utifrån er verksamhet och lagstiftningens krav. Hör av dig till oss hittar vi den lösning som passar bäst för just er.