NIS-direktivet ska förebygga cyberattacker

NIS-direktivet ska förebygga cyberattacker

Richard Oehme, cybersäkerhetsexpert, förklarar hur finansbolagen påverkas av NIS-direktivet.

Vad är bakgrunden till NIS-direktivet?

– De senaste 10–15 åren har olika samhällskritiska verksamheter inom allt från energi- till finansområdet blivit mer digitaliserade. Det ökade digitala beroendet gör att olika incidenter – till exempel naturkatastrofer eller tekniska fel – kan påverka och orsaka avbrott i leveransen av viktiga samhällsfunktioner.  Samtidigt har cyberkriminaliteten ökat med många uppmärksammade attacker.

Guide

ÄMNE: NIS-direktivet.

LÄRARE: Richard Oehme, cybersäkerhetsexpert på revisionsbolaget PwC.

LÄS MER

Alla våra guider finns samlade på finansliv.se

– NIS-direktivet betyder Network and Information System Directive och är den första EU-omfattande lagstiftningen om cybersäkerhet. Europaparlamentet antog direktivet sommaren 2016. I Sverige implementeras direktivet bland annat genom Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började att gälla den 1 augusti i år.

Richard Oehme. Foto: PwC

Vilka aktörer omfattas av direktivet?

– Det är en rad offentliga organisationer men också aktörer inom finansområdet.

– I föreskrifterna från Myndigheten för samhällsskydd och beredskap (MSB) görs en åtskillnad mellan »samhällsviktiga leverantörer« inom finansmarknadsinfrastruktur respektive bankverksamhet. Det förra handlar till exempel om handelsplatser med en sammanlagd handelsomsättning på minst en miljard kronor per dag. Det senare inbegriper de svenska kreditinstitut som tillhör tillsynskategori 1 och 2 i Finansinspektionens så kallade tillsynskategorisering, däribland storbankerna men också andra större kreditinstitut liksom vissa utländska bankers filialer. Att finansbranschens aktörer omfattas av direktivet är inte konstigt. Inte bara är deras tjänster kritiska för exempelvis betalningssystemet, det handlar också om att cyberkriminalitet globalt är vanlig inom finansområdet eftersom beloppen är stora och risken för att åka fast är låg.

Vad innehåller direktivet för krav?

– Det övergripande kravet är att aktörerna som berörs av direktivet ska arbeta systematiskt och riskbaserat med informations­säkerhet. Det innebär exempelvis att organisationerna regelbundet ska identifiera och utvärdera risker i sina nätverkssystem och vidta säkerhetsåtgärder för att säkerställa resiliens. Man ska alltså förebygga attacker, men också ha förmågan att hålla de kritiska systemen igång när något redan har inträffat. En annan nyhet är att dessa aktörer – från och med mars nästa år – ska rapportera it-incidenter till MSB.

Men finns inte dessa krav redan genom andra regelverk?

– Nej, inte heltäckande på detta sätt.

Vad händer om en organisation inte uppfyller kraven?

– Det finns en sanktionsavgift på max tio miljoner kronor vid överträdelser. En sådan kan till exempel vara att ett finansiellt företag som tillhandahåller en transaktionstjänst får it-systemet attackerat, och att överföringar därför inte kan genomföras till flera tusen personer under en utbetalningsdag för lönen. Exakt hur förseelser kommer att bedömas är oklart idag, men mycket handlar nog om vilka negativa konsekvenser som en eventuell it-incident har orsakat.

 

Hur påverkas finansbolagen resurs- och kostnadsmässigt av direktivets krav?

– Samtidigt som NIS-direktivet kommer andra regelverk som berör informationssäkerheten, till exempel GDPR men även den nya säkerhetsskyddslagen som träder i kraft i april 2019. Det är alltså mycket som ska analyseras ur ett informations- och cybersäkerhetsperspektiv, och det görs givetvis inte i all hast utan här krävs ett idogt arbete över tid.

publicerad
27 november 2018
Den 5 september springer branschen Finansloppet. ✔️Start och mål på Stockholms Stadion. ✔️3,8 km i Lill-Jansskogen. ✔️Picknick och branschmingel efter loppet. ✔️Spring, jogga eller promenera i skogen. www.finansloppet.se #finans #löpning #bank #försäkring
Anmälan är öppen! #finansloppet2019
Nytt nummer! Läs om förtroendekrisen som skakar branschen. #finans #svpol #magazinecover #hållbarhet #finansliv #sustainability #cover #swedbank #finansbranschen #danske
Vi är bra på långa ord. Och på att förklara dem. Läs mer i Finansliv nummer 4 - snart hos alla prenumeranter. ⭐️
I varje nummer intervjuar vi kollegor i branschen. Läs hela intervjun med @planbokssmart.se på finansliv.se
#klimat, #hållbarhet och #greenfinance i fokus på vårt event #sustainable #finance #stockholm. Alla bilder på finansliv.se Foto: Oskar Omne
Fyra av talarna på Sustainable Finance finns med på tidningen @veckansaffarer lista över näringslivets mäktigaste kvinnor. ⭐️Anna Ryott, Summa Equity ⭐️Maria Mähl, Arabesque ⭐️Anna Felländer, AI Sustainability Center ⭐️Carina Lundberg Markow, Folksam
Följ @Finansliv på Instagram