NIS-direktivet ska förebygga cyberattacker

NIS-direktivet ska förebygga cyberattacker

Richard Oehme, cybersäkerhetsexpert, förklarar hur finansbolagen påverkas av NIS-direktivet.

Vad är bakgrunden till NIS-direktivet?

– De senaste 10–15 åren har olika samhällskritiska verksamheter inom allt från energi- till finansområdet blivit mer digitaliserade. Det ökade digitala beroendet gör att olika incidenter – till exempel naturkatastrofer eller tekniska fel – kan påverka och orsaka avbrott i leveransen av viktiga samhällsfunktioner.  Samtidigt har cyberkriminaliteten ökat med många uppmärksammade attacker.

Guide

ÄMNE: NIS-direktivet.

LÄRARE: Richard Oehme, cybersäkerhetsexpert på revisionsbolaget PwC.

LÄS MER

Alla våra guider finns samlade på finansliv.se

– NIS-direktivet betyder Network and Information System Directive och är den första EU-omfattande lagstiftningen om cybersäkerhet. Europaparlamentet antog direktivet sommaren 2016. I Sverige implementeras direktivet bland annat genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började att gälla den 1 augusti i år.

Richard Oehme. Foto: PwC

Vilka aktörer omfattas av direktivet?

– Det är en rad offentliga organisationer men också aktörer inom finansområdet.

– I föreskrifterna från Myndigheten för samhällsskydd och beredskap (MSB) görs en åtskillnad mellan »samhällsviktiga leverantörer« inom finansmarknadsinfrastruktur respektive bankverksamhet. Det förra handlar till exempel om handelsplatser med en sammanlagd handelsomsättning på minst en miljard kronor per dag. Det senare inbegriper de svenska kreditinstitut som tillhör tillsynskategori 1 och 2 i Finansinspektionens så kallade tillsynskategorisering, däribland storbankerna men också andra större kreditinstitut liksom vissa utländska bankers filialer. Att finansbranschens aktörer omfattas av direktivet är inte konstigt. Inte bara är deras tjänster kritiska för exempelvis betalningssystemet, det handlar också om att cyberkriminalitet globalt är vanlig inom finansområdet eftersom beloppen är stora och risken för att åka fast är låg.

Vad innehåller direktivet för krav?

– Det övergripande kravet är att aktörerna som berörs av direktivet ska arbeta systematiskt och riskbaserat med informations­säkerhet. Det innebär exempelvis att organisationerna regelbundet ska identifiera och utvärdera risker i sina nätverkssystem och vidta säkerhetsåtgärder för att säkerställa resiliens. Man ska alltså förebygga attacker, men också ha förmågan att hålla de kritiska systemen igång när något redan har inträffat. En annan nyhet är att dessa aktörer – från och med mars nästa år – ska rapportera it-incidenter till MSB.

Men finns inte dessa krav redan genom andra regelverk?

– Nej, inte heltäckande på detta sätt.

Vad händer om en organisation inte uppfyller kraven?

– Det finns en sanktionsavgift på max tio miljoner kronor vid överträdelser. En sådan kan till exempel vara att ett finansiellt företag som tillhandahåller en transaktionstjänst får it-systemet attackerat, och att överföringar därför inte kan genomföras till flera tusen personer under en utbetalningsdag för lönen. Exakt hur förseelser kommer att bedömas är oklart idag, men mycket handlar nog om vilka negativa konsekvenser som en eventuell it-incident har orsakat.

 

Hur påverkas finansbolagen resurs- och kostnadsmässigt av direktivets krav?

– Samtidigt som NIS-direktivet kommer andra regelverk som berör informationssäkerheten, till exempel GDPR men även den nya säkerhetsskyddslagen som träder i kraft i april 2019. Det är alltså mycket som ska analyseras ur ett informations- och cybersäkerhetsperspektiv, och det görs givetvis inte i all hast utan här krävs ett idogt arbete över tid.

publicerad
27 november 2018

#Finansfredag

Finanslivs redaktörer Aron Sigblad och Anna de Lima Fagerlind om det senaste som hänt i finans- och försäkringsbranschen, vilka trender som påverkar branschen och vad Finansliv har på gång just nu. Nytt avsnitt varje fredag.
Se #finansfredag här
I morse bjöd vi in till en #finanslivfrukost med @elin.helander och @dreams.app ☕️Se alla mingelbilder på Finansliv.se Foto: Oskar Omne
Det är ett år sedan vi publicerade magasinet till vänster då många undrade var metoo-uppropet från finansbranschen var. Sedan kom #påvåravillkor och #inteminskuld . Vad har hänt sedan dess? Nytt nummer av #finansliv ute nu.
Finansliv är på plats i Lissabon för en av världens största konferenser, #websummit!
Nu ligger alla bilder från #fintechstockholm uppe på finansliv.se ⭐️ Foto: Tor Johnsson.
Följ @Finansliv på Instagram