NIS-direktivet ska förebygga cyberattacker

NIS-direktivet ska förebygga cyberattacker

Richard Oehme, cybersäkerhetsexpert, förklarar hur finansbolagen påverkas av NIS-direktivet.

Vad är bakgrunden till NIS-direktivet?

– De senaste 10–15 åren har olika samhällskritiska verksamheter inom allt från energi- till finansområdet blivit mer digitaliserade. Det ökade digitala beroendet gör att olika incidenter – till exempel naturkatastrofer eller tekniska fel – kan påverka och orsaka avbrott i leveransen av viktiga samhällsfunktioner.  Samtidigt har cyberkriminaliteten ökat med många uppmärksammade attacker.

Guide

ÄMNE: NIS-direktivet.

LÄRARE: Richard Oehme, cybersäkerhetsexpert på revisionsbolaget PwC.

LÄS MER

Alla våra guider finns samlade på finansliv.se

– NIS-direktivet betyder Network and Information System Directive och är den första EU-omfattande lagstiftningen om cybersäkerhet. Europaparlamentet antog direktivet sommaren 2016. I Sverige implementeras direktivet bland annat genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började att gälla den 1 augusti i år.

Richard Oehme. Foto: PwC

Vilka aktörer omfattas av direktivet?

– Det är en rad offentliga organisationer men också aktörer inom finansområdet.

– I föreskrifterna från Myndigheten för samhällsskydd och beredskap (MSB) görs en åtskillnad mellan »samhällsviktiga leverantörer« inom finansmarknadsinfrastruktur respektive bankverksamhet. Det förra handlar till exempel om handelsplatser med en sammanlagd handelsomsättning på minst en miljard kronor per dag. Det senare inbegriper de svenska kreditinstitut som tillhör tillsynskategori 1 och 2 i Finansinspektionens så kallade tillsynskategorisering, däribland storbankerna men också andra större kreditinstitut liksom vissa utländska bankers filialer. Att finansbranschens aktörer omfattas av direktivet är inte konstigt. Inte bara är deras tjänster kritiska för exempelvis betalningssystemet, det handlar också om att cyberkriminalitet globalt är vanlig inom finansområdet eftersom beloppen är stora och risken för att åka fast är låg.

Vad innehåller direktivet för krav?

– Det övergripande kravet är att aktörerna som berörs av direktivet ska arbeta systematiskt och riskbaserat med informations­säkerhet. Det innebär exempelvis att organisationerna regelbundet ska identifiera och utvärdera risker i sina nätverkssystem och vidta säkerhetsåtgärder för att säkerställa resiliens. Man ska alltså förebygga attacker, men också ha förmågan att hålla de kritiska systemen igång när något redan har inträffat. En annan nyhet är att dessa aktörer – från och med mars nästa år – ska rapportera it-incidenter till MSB.

Men finns inte dessa krav redan genom andra regelverk?

– Nej, inte heltäckande på detta sätt.

Vad händer om en organisation inte uppfyller kraven?

– Det finns en sanktionsavgift på max tio miljoner kronor vid överträdelser. En sådan kan till exempel vara att ett finansiellt företag som tillhandahåller en transaktionstjänst får it-systemet attackerat, och att överföringar därför inte kan genomföras till flera tusen personer under en utbetalningsdag för lönen. Exakt hur förseelser kommer att bedömas är oklart idag, men mycket handlar nog om vilka negativa konsekvenser som en eventuell it-incident har orsakat.

 

Hur påverkas finansbolagen resurs- och kostnadsmässigt av direktivets krav?

– Samtidigt som NIS-direktivet kommer andra regelverk som berör informationssäkerheten, till exempel GDPR men även den nya säkerhetsskyddslagen som träder i kraft i april 2019. Det är alltså mycket som ska analyseras ur ett informations- och cybersäkerhetsperspektiv, och det görs givetvis inte i all hast utan här krävs ett idogt arbete över tid.

publicerad
27 november 2018

#Finansfredag

Finanslivs redaktörer Aron Sigblad och Anna de Lima Fagerlind om det senaste som hänt i finans- och försäkringsbranschen, vilka trender som påverkar branschen och vad Finansliv har på gång just nu. Nytt avsnitt varje fredag.
Se #finansfredag här
Fyra av talarna på Sustainable Finance finns med på tidningen @veckansaffarer lista över näringslivets mäktigaste kvinnor. ⭐️Anna Ryott, Summa Equity ⭐️Maria Mähl, Arabesque ⭐️Anna Felländer, AI Sustainability Center ⭐️Carina Lundberg Markow, Folksam
Stockholm Green Digital Finance vill sänka trösklarna för grön finansiering med hjälp av blockchainteknik. Lyssna till Cecilia Repinski, vd och medgrundare, på Sustainable Finance den 28 mars. foto: Oskar Omne
Vår fotograf @donkadoo fotar @evatrouin på Swedbank. Missa inte intervjun med henne i nästa nummer av Finansliv!
Filippa Bergin, ansvarig för stora kunder och affärsutveckling i Ekobanken, är en av talarna på Sustainable Finance den 28 mars.
I veckan kommer årets första nummer av #finansliv Innehåller bl.a. #lön #paytech #danskebank #fintech #nordea, krönika av @framtidsfeministen och mycket mer! Omslagsfoto: @oskaromne
En av talarna på Sustainable Finance den 28 mars är Anna Felländer, grundare av AI Sustainability Center. @aisustcenter Glöm inte att boka dina biljetter på finansliv.se.
Följ @Finansliv på Instagram