NIS-direktivet ska förebygga cyberattacker
Richard Oehme, cybersäkerhetsexpert, förklarar hur finansbolagen påverkas av NIS-direktivet.
Vad är bakgrunden till NIS-direktivet?
– De senaste 10–15 åren har olika samhällskritiska verksamheter inom allt från energi- till finansområdet blivit mer digitaliserade. Det ökade digitala beroendet gör att olika incidenter – till exempel naturkatastrofer eller tekniska fel – kan påverka och orsaka avbrott i leveransen av viktiga samhällsfunktioner. Samtidigt har cyberkriminaliteten ökat med många uppmärksammade attacker.
Guide
ÄMNE: NIS-direktivet.
LÄRARE: Richard Oehme, cybersäkerhetsexpert på revisionsbolaget PwC.
LÄS MER
Alla våra guider finns samlade på finansliv.se
– NIS-direktivet betyder Network and Information System Directive och är den första EU-omfattande lagstiftningen om cybersäkerhet. Europaparlamentet antog direktivet sommaren 2016. I Sverige implementeras direktivet bland annat genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började att gälla den 1 augusti i år.
Vilka aktörer omfattas av direktivet?
– Det är en rad offentliga organisationer men också aktörer inom finansområdet.
– I föreskrifterna från Myndigheten för samhällsskydd och beredskap (MSB) görs en åtskillnad mellan »samhällsviktiga leverantörer« inom finansmarknadsinfrastruktur respektive bankverksamhet. Det förra handlar till exempel om handelsplatser med en sammanlagd handelsomsättning på minst en miljard kronor per dag. Det senare inbegriper de svenska kreditinstitut som tillhör tillsynskategori 1 och 2 i Finansinspektionens så kallade tillsynskategorisering, däribland storbankerna men också andra större kreditinstitut liksom vissa utländska bankers filialer. Att finansbranschens aktörer omfattas av direktivet är inte konstigt. Inte bara är deras tjänster kritiska för exempelvis betalningssystemet, det handlar också om att cyberkriminalitet globalt är vanlig inom finansområdet eftersom beloppen är stora och risken för att åka fast är låg.
Vad innehåller direktivet för krav?
– Det övergripande kravet är att aktörerna som berörs av direktivet ska arbeta systematiskt och riskbaserat med informationssäkerhet. Det innebär exempelvis att organisationerna regelbundet ska identifiera och utvärdera risker i sina nätverkssystem och vidta säkerhetsåtgärder för att säkerställa resiliens. Man ska alltså förebygga attacker, men också ha förmågan att hålla de kritiska systemen igång när något redan har inträffat. En annan nyhet är att dessa aktörer – från och med mars nästa år – ska rapportera it-incidenter till MSB.
Men finns inte dessa krav redan genom andra regelverk?
– Nej, inte heltäckande på detta sätt.
Vad händer om en organisation inte uppfyller kraven?
– Det finns en sanktionsavgift på max tio miljoner kronor vid överträdelser. En sådan kan till exempel vara att ett finansiellt företag som tillhandahåller en transaktionstjänst får it-systemet attackerat, och att överföringar därför inte kan genomföras till flera tusen personer under en utbetalningsdag för lönen. Exakt hur förseelser kommer att bedömas är oklart i dag, men mycket handlar nog om vilka negativa konsekvenser som en eventuell it-incident har orsakat.
Hur påverkas finansbolagen resurs- och kostnadsmässigt av direktivets krav?
– Samtidigt som NIS-direktivet kommer andra regelverk som berör informationssäkerheten, till exempel GDPR men även den nya säkerhetsskyddslagen som träder i kraft i april 2019. Det är alltså mycket som ska analyseras ur ett informations- och cybersäkerhetsperspektiv, och det görs givetvis inte i all hast utan här krävs ett idogt arbete över tid.