Gå direkt till textinnehållet

NIS-direktivet ska förebygga cyberattacker

Guide Richard Oehme, cybersäkerhetsexpert, går igenom vad NIS-direktivet innebär.

Vad är bakgrunden till NIS-direktivet?

– De senaste 10–15 åren har olika samhällskritiska verksamheter inom allt från energi- till finansområdet blivit mer digitaliserade. Det ökade digitala beroendet gör att olika incidenter – till exempel naturkatastrofer eller tekniska fel – kan påverka och orsaka avbrott i leveransen av viktiga samhällsfunktioner.  Samtidigt har cyberkriminaliteten ökat med många uppmärksammade attacker.

– NIS-direktivet betyder Network and Information System Directive och är den första EU-omfattande lagstiftningen om cybersäkerhet. Europaparlamentet antog direktivet sommaren 2016. I Sverige implementeras direktivet bland annat genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började att gälla den 1 augusti i år.

Richard Oehme.

Vilka aktörer omfattas av direktivet?

– Det är en rad offentliga organisationer men också aktörer inom finansområdet.

– I föreskrifterna från Myndigheten för samhällsskydd och beredskap (MSB) görs en åtskillnad mellan »samhällsviktiga leverantörer« inom finansmarknadsinfrastruktur respektive bankverksamhet. Det förra handlar till exempel om handelsplatser med en sammanlagd handelsomsättning på minst en miljard kronor per dag. Det senare inbegriper de svenska kreditinstitut som tillhör tillsynskategori 1 och 2 i Finansinspektionens så kallade tillsynskategorisering, däribland storbankerna men också andra större kreditinstitut liksom vissa utländska bankers filialer. Att finansbranschens aktörer omfattas av direktivet är inte konstigt. Inte bara är deras tjänster kritiska för exempelvis betalningssystemet, det handlar också om att cyberkriminalitet globalt är vanlig inom finansområdet eftersom beloppen är stora och risken för att åka fast är låg.

Vad innehåller direktivet för krav?

– Det övergripande kravet är att aktörerna som berörs av direktivet ska arbeta systematiskt och riskbaserat med informations­säkerhet. Det innebär exempelvis att organisationerna regelbundet ska identifiera och utvärdera risker i sina nätverkssystem och vidta säkerhetsåtgärder för att säkerställa resiliens. Man ska alltså förebygga attacker, men också ha förmågan att hålla de kritiska systemen igång när något redan har inträffat. En annan nyhet är att dessa aktörer – från och med mars nästa år – ska rapportera
it-incidenter till MSB.

Men finns inte dessa krav redan genom andra regelverk?

– Nej, inte heltäckande på detta sätt.

Vad händer om en organisation inte uppfyller kraven?

– Det finns en sanktionsavgift på max tio miljoner kronor vid överträdelser. En sådan kan till exempel vara att ett finansiellt företag som tillhandahåller en transaktionstjänst får it-systemet attackerat, och att överföringar därför inte kan genomföras till flera tusen personer under en utbetalningsdag för lönen. Exakt hur förseelser kommer att bedömas är oklart i dag, men mycket handlar nog om vilka negativa konsekvenser som en eventuell it-incident har orsakat.

Hur påverkas finansbolagen resurs- och kostnadsmässigt av direktivets krav?

– Samtidigt som NIS-direktivet kommer andra regelverk som berör informationssäkerheten, till exempel GDPR men även den nya säkerhetsskyddslagen som träder i kraft i april 2019. Det är alltså mycket som ska analyseras ur ett informations- och cybersäkerhetsperspektiv, och det görs givetvis inte i all hast utan här krävs ett idogt arbete över tid.

Mest läst

Finansförbundets krönika

"Jag kommer att gå och rösta den 9e juni, och jag kommer välja ett parti som tror på partsmodellen och står upp för demokratin. Genom ett högt valdeltagande ökar vi i Sverige vårt inflytande i viktiga samhällsfrågor", skriver Ulrika Boëthius.
»Gör dig redo för EU-valet«
»Varje bransch som står utan en fackförbundstidning är mer sårbar för korruption, oegentligheter och missförhållanden«, skriver Finanslivs chefredaktör Axel Andén.
Några slutord