NIS-direktivet träder i kraft i Maj 2018, strax före GDPR, den nya dataskyddsförordningen. Maj 2018 – eller Regulation May – är således den kanske tyngst lastade månaden i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda sin information och integritet, både inom privat och offentlig sektor.
Till skillnad från GDPR är NIS-direktivet dedikerat för vissa organisationer som tillhandahåller samhällsviktiga och digitala tjänster i syfte att stärka säkerheten i nätverk och system. Dessa organisationer kommer i olika utsträckning behöva vidta säkerhetsåtgärder för att etablera och upprätthålla den IT-säkerhetsstandard direktivet kräver. Direktivet innefattar krav på bland annat incidenthantering, rapporteringsskyldigheter samt årliga säkerhetsanalyser.
Teckna din prenumeration av Aktuell Säkerhet här
Förra veckan avslöjade SVT att flera svenska myndigheter och företag har drabbats av den omfattande dataintrångshärvan, flera utan att ens veta om det. Bland de utsatta finns SJ som har bekräftat uppgifterna . SJ har i veckan också varit ropet efter att bokningssystemet havererade och tågtrafiken utsattes för störningar till följd av en överbelastningsattack hos Trafikverkets underleverantörer DGC och TDC.
I och med NIS-direktivets inträde kan incidenter likt de som drabbade SJ få större konsekvenser än vad de får idag. Samtliga inblandade parter, i det här fallet Trafikverket, SJ och den berörda internetleverantören, kommer i praktiken omfattas av direktivet och riskerar därmed böter om liknande incidenter upprepas i framtiden.
Även säkerhetsincidenter i stil med de som nyligen drabbade Transportstyrelsen kommer kunna leda till konsekvenser, såväl för myndigheterna själva som för de digitala tjänsteleverantörer som samarbetar med myndigheter när direktivet omsatts i Svensk lag, senast den 10:e Maj 2018.
Krister Hedfors, ansvarig för projekt inom NIS-direktivet på säkerhetsföretaget Sentor, menar att få svenska organisationer har inlett arbetet mot efterlevnad, trots att det enligt direktivet är mindre än sju månader kvar till deadline för när den svenska lagen skall träda i kraft.
– Eftersom NIS-direktivet har opererat i skuggan av GDPR har många företag och myndigheter ännu inte påbörjat arbetet mot efterlevnad. Direktivet hotar i dagsläget inte med lika höga böter som GDPR i den svenska interpretationen, dock finns till exempel ett liggande lagförslag i Storbritannien där bötesbeloppen är i linje med GDPR, alltså från 20 miljoner euro upp till 4 procent av koncernomsättningen. Direktivet riktar sig mot samhällskritiska verksamheter vilket är fullt rimligt givet den hotbild vi ser idag. Med händelserna kring bland annat Transportstyrelsen, Polismyndigheten och nu senast Trafikverket har IT-säkerhet inom samhällsviktiga organisationer blivit ett högst aktuellt och känsligt ämne. Drabbade organisationer och ansvariga individer får i många fall utstå hård kritik. Med de nya, tuffare kraven kan konsekvenserna bli än mer kännbara för berörda aktörer som inte kontinuerligt upprätthåller sitt risk- och säkerhetsarbete.