Vad är NIS och NIS2-direktivet?

(The Directive on security of network and information systems) NIS-direktivet syftar till att stärka EU-medlemsstaternas skyddsnivå gällande samhällskritisk infrastruktur.

Varje organisation och företag måste förhålla sig till NIS på sitt sätt, det finns ingen one-size-fits-all-lösning. Det kan dessutom vara svårt att avgöra om man som organisation, myndighet eller företag överhuvudtaget påverkas av NIS. Vi på link22 har hjälpt myndigheter och organisationer med säkerhetsutmaningar i 16 år och kan vara behjälpliga på flera plan. Om ni är osäkra på hur ni påverkas av NIS föreslår vi att ni bokar en demo med oss där vi går igenom er situation och resonerar runt vilka åtgärder ni kan behöva ta för att möta ställda krav och säkra det skyddsvärda hos er.

Att detta är ett direktiv och inte en lag innebär att det inkorporeras på olika vis i varje medlemsstat för att på ett naturligt sätt harmonisera med nationell lagstiftning. I Sverige blev NIS-direktivet verklighet den 1 augusti 2018 genom lagen om informationssäkerhet.

NIS-direktivet togs fram för att skydda europeiska medborgare genom att höja säkerheten för samhällskritisk infrastruktur i medlemsstaterna. Detta specifikt genom att höja informationssäkerheten för samhällsviktiga tjänster.

Hacker-attacker från kriminella ligor och nationsstater har ökat markant de senaste åren, i takt med digitalisering av samhället. Attackerna blir allt mer sofistikerade och motiven är inte bara anarkistiska eller ekonomiska utan också politiska. Cyberkriget är ett faktum. För att hålla upprätthålla samhällets viktigaste funktioner och fortsätta tjäna medborgarna finns det därför skäl att förebygga och förbereda för attacker.

NIS-direktivet pekar ut sektorerna energi, hälso- och sjukvård, transport, finans, dricksvattenförsörjning och digital infrastruktur som samhällskritiska. Det är dessa sektorer som först bör ha ett förstärkt skydd.

Direktivet innebär att de generella kraven på informationssäkerhet höjs. Det betyder att berörda verksamheter måste beakta person, process och teknologi i sitt arbete för höjd informationssäkerhet. Verksamheterna behöver riskklassificera sin information och sina system. De behöver förbereda sig på eventualiteter som konsekvenserna av en attack kan leda till och förbereda åtgärdsplaner för att höja sin motståndskraft. Kontinuerlig kunskapsinsamling genom incidentrapportering skall genomföras för ständigt ökad beredskap. Huvudsakligen förväntas man fokusera på verksamhetens nätverks- och informationssystem.

NIS-direktivet är en god utgångspunkt för att genomföra värdefullt cybersäkerhetarbete. För att avgöra vilka åtgärder som är lämpliga behöver organisationen i fråga först kartläggas på en övergripande nivå. Vissa processer är särskilt viktiga för kärnfunktioner, några personer har arbetsuppgifter som gör dem sårbara för utpressning och delar av den tekniska infrastrukturen är mer sårbar än annan. Till detta bör en extern kartläggning göras för att specificera vilka cyberattacker som förekommer idag och vilka som förväntas komma i framtiden. Normalt är information som mest utsatt när den skickas mellan säkerhetsdomäner eller via nätverk. Att förstärka skyddet vid dataöverföring med datadioder, kontrasignering och kryptering är viktiga för robust informationssäkerhet. Att separera information för att höja säkerheten är en god ide, för att kunna göra det måste organisationen avgöra vilken information som är viktigare än annan. För att bibehålla effektivitet är det viktigt att avgöra vilken information som har vilken risknivå.

I Sverige anammas NIS-direktivet genom lagen om informationssäkerhet. I den finns föreskrifter som tydliggör hur en verksamhet kan anpassas för att möta NIS-direktivet:

Systematiskt och riskbaserat informationssäkerhetsarbete

Det informationssäkerhetsarbete som bedrivs gällande informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas efter organisationen. När man identifierat de risker som finns ska man tydliggöra organisationens ansvar för arbetet med informationssäkerhet, se till att alla resurser finns för att kunna utföra arbetet, samt se till att arbetet anpassas och utvärderas.

Närmare krav på informationssäkerhetsarbetet

Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.

Särskilt om nätverk och informationssystem 

Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.

NIS-direktivet innefattar löpande granskning av direktivet i syfte att förstärka och anpassa i takt med omvärldsförändringar. Detta har lett till iteration två av direktivet som kallas NIS 2.

• Europeiska bolag har inte tillräcklig förmåga att försvara sig mot cyberattacker
• Europeiska bolag har inte tillräcklig förmåga att upprätthålla sina verksamheter under cyberattacker
• Europeiska bolag har inte tillräcklig förmåga att snabbt återgå till normal funktion efter en cyberattack
• Vissa sektorer och stater är mycket starkare än andra, det finns tydliga svaga länkar i det europeiska digitala landskapet.
• Förståelsen för hotbilden bland medlemsstater är låg
• Det saknas gemensam krishantering rörande cyberattacker inom eu

För att stärka NIS-direktivet har följande flera åtgärder specificerats, vi listar några av de viktigaste nedan:

• Nya sektorer adderas
• Höjda minimikrav på säkerhet och rapportering
• Striktare tillsynsåtgärder för nationella myndigheter
• Striktare efterlevnadskrav för nationella myndigheter
• Administrativa viten har möjliggjorts
• Ökat samarbete och ökad informationsdelning mellan medlemsstaternas myndigheter

NIS 2 inkluderar fler sektorer och fler företag och organisationer inom varje sektor. Det ursprungliga NIS-direktivet pekar ut sektorerna energi, hälso- och sjukvård, transport, finansmarknad, dricksvattenförsörjning och digital infrastruktur som samhällskritiska. I NIS 2 har man lagt till offentlig förvaltning, tillverkning av farmaceutiska produkter inklusive vaccin och kritiska medicintekniska produkter samt rymden.

Därtill påverkas även företag som rör avfallshantering, kemikalier, post- och budtjänster, livsmedel, motorfordon, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, och digitala leverantörer.

I huvudsak påverka medelstora och stora företag inom dessa sektorer men även mindre företag kan påverkas beroende på företagets profil.

Varje organisation och företag måste förhålla sig till NIS på sitt sätt, det finns ingen one-size-fits-all-lösning. Det kan dessutom vara svårt att avgöra om man som organisation, myndighet eller företag överhuvudtaget påverkas av NIS. Vi på link22 har hjälpt myndigheter och organisationer med säkerhetsutmaningar i 16 år och kan vara behjälpliga på flera plan. Om ni är osäkra på om ni påverkas av NIS föreslår vi att ni bokar en demo med oss där vi går igenom er situation och resonerar runt vilka åtgärder ni kan behöva ta för att möta ställda krav och säkra det skyddsvärda hos er.