2018 hände något historiskt. Det första NIS-direktivet började gälla i EU:s medlemsländer. Så här fem år senare har mycket förändrats i vår omvärld – covid-19-pandemin, förändrad geopolitisk situation, krig i Europa, uppmärksammade IT-incidenter – samtidigt som samhällets digitalisering bara fortsatt. Med bakgrund i den ökade hotbilden och det förändrade omvärldsläget har nu NIS2-direktivet antagits och börjar gälla hösten 2024.
Det första NIS-direktivet (The Directive on security of network and information systems) var den första EU-regleringen med syftet att höja informations- och cybersäkerheten i unionen. Bakgrunden till direktivet är den roll som nätverks- och informationssystem har kommit att spela som möjliggörare för såväl ekonomin som för andra viktiga samhällsfunktioner. Beroendet av dessa system gör att incidenter som inträffar i dem riskerar att orsaka allvarliga konsekvenser för unionen. Regleringen riktar sig därför mot de som tillhandahåller tjänster som är viktiga för samhället och ekonomin – så kallade leverantörer av samhällsviktiga och digitala tjänster (NIS-leverantörer). De samhällsviktiga tjänsterna delas in i sju sektorer:
- Bankverksamhet
- Digital infrastruktur
- Energi
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Transport
För att minska sårbarheterna ställer direktivet krav på en miniminivå av säkerhet i nätverks- och informationssystem. Förutom att höja den generella säkerhetsnivån bidrar direktivets krav även till att likrikta säkerhetsåtgärderna inom unionen. På grund av att det är ett direktiv och inte en förordning så är det dock upp till varje medlemsstat att implementera direktivet i nationell lagstiftning vilket leder till att vissa mindre skillnader kan förekomma mellan medlemsländerna. I Sverige implementerades direktivet genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. I denna framgår krav på:
- Systematiskt och riskbaserat informationssäkerhetsarbete
- Riskanalys med åtgärdsplan
- Tekniska och organisatoriska åtgärder för att hantera risker
- Förebygga och minimera konsekvenser av incidenter
Fler detaljer kring dessa krav ges i förordning (2018:1175) där även Myndigheten för samhällsskydd och beredskap (MSB) och ett antal tillsynsmyndigheter ges mandat att genom föreskrifter specificera kraven ytterligare.
Även om efterlevnad av kraven och ett välutformat förebyggande arbete minskar riskerna är det dock svårt att helt kunna skydda sig mot IT-incidenter. Detta hanteras inom NIS genom obligatorisk incidentrapportering av de incidenter som påverkar tillhandahållandet av den samhällsviktiga eller digitala tjänsten. I Sverige innebär kraven på incidentrapportering att NIS-leverantörer ska rapportera de incidenter som orsakar störningar som har betydande inverkan på kontinuiteten i den tjänst man levererar. En första rapport ska ske senast sex timmar från att incidenten identifierats som rapporteringspliktig och sedan i två ytterligare skeden efter 24 timmar respektive fyra veckor allt eftersom incidenten hanteras och mer information framträder.
Förutom kraven på säkerhetsåtgärder och incidentrapportering för verksamheter innehåller NIS-direktivet även åtgärder på nationell nivå. Dessa handlar bland annat om att ta fram en nationell strategi för säkerhet i nätverks- och informationssystem, upprätta en nationell enhet för hantering av IT-säkerhetsincidenter, nationella behöriga myndigheter och en gemensam kontaktpunkt samt om att delta i europeiska samarbetsgrupper.
Spola sedan fram bandet några år så kan man konstatera att det första NIS-direktivet och dess krav, incidentrapporteringen och samarbetsformerna definitivt hjälpt till att höja nivån på informations- och cybersäkerheten i unionen. Europaparlamentet och Europeiska unionens råd menar dock att trots direktivets många framgångar så har översynen av direktivet visat på att det inte är tillräckligt för att effektivt kunna hantera utmaningarna inom cybersäkerhetsområdet. Detta är ett av skälen till att EU nu väljer att anta direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen – det så kallade NIS2-direktivet.
Eftersom NIS2 kan ses som en uppdatering av det ursprungliga NIS-direktivet kommer många av kraven som ställs i NIS-direktivet att kvarstå men kompletteras med bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen. NIS2 kommer även att inkludera fler sektorer och striktare tillsynsåtgärder. Målet är att ytterligare öka säkerheten och förbättra samarbetet mellan EU:s medlemsländer. Om organisationer inte uppfyller kraven i NIS2 kan de drabbas av sanktionsavgifter.
Några av kraven som behöver uppfyllas enligt NIS2 är:
- Strategier för riskanalys
- Hantering av incidenter
- Planer för verksamhetskontinuitet
- Säkerhet vid anskaffning, utveckling och förvaltning
- Strategier och rutiner för att bedöma effektiviteten i riskhanteringsåtgärder
- Utbildning i informationssäkerhet
- Åtkomstkontroll och hantering av tillgångar
- Lösningar för multifaktorsautentisering
- Strategier och rutiner för kryptografi
- Säkerhet i leveranskedjan
För att uppfylla kraven i det första NIS-direktivet menar MSB i sina föreskrifter (MSBFS 2018:8) att varje leverantör ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna ISO 27001 och ISO 27002 eller motsvarande. Det är troligt att ett arbetssätt enligt ISO 27001 kommer att vara en bra grund för att efterleva kraven även i NIS2.
Jämfört med det första NIS-direktivet har omfattningen utökats avsevärt med flera och bredare sektorer. Ytterligare en förändring är att sektorerna nu även delas in i två kategorier – så kallade högkritiska sektorer som listas i bilaga I till direktivet, samt andra kritiska sektorer som listas i bilaga II. De högkritiska sektorerna är:
- Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas)
- Transporter (lufttransport, järnvägstransport, sjöfart, vägtransport)
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvårdssektorn
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur (leverantörer av internetknutpunkter, DNS-tjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, registreringsenheter för toppdomäner, tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster)
- Förvaltning av IKT-tjänster (leverantörer av hanterade tjänster och säkerhetstjänster)
- Offentlig förvaltning (nationell och regional nivå – Huruvida kommuner ska omfattas är en fråga som den nationella utredningen ska titta på.)
- Rymden (operatörer av markbaserad infrastruktur)
De som listas som andra kritiska sektorer är:
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning (medicintekniska produkter, datorer, elektronikvaror, optik, elapparatur, motorfordon, släpfordon och påhängsvagnar, andra transportmedel och övriga maskiner)
- Digitala leverantörer (onlinemarknadsplatser, sökmotorer, plattformar för sociala nätverkstjänster)
- Forskning (I vilken utsträckning universitet och högskolor kommer att omfattas är en fråga som den nationella utredningen ska titta på.)
Det är dock inte samtliga organisationer i alla sektorer som listas ovan som omfattas utan enbart de som betecknas som medelstora företag eller större. Gränsvärdena för vad som anses vara medelstora företag är 50 personer och en årsomsättning eller balansomslutning på 10 miljoner euro.
Det finns flera undantag från storlekskraven som gör att organisationer som inte uppnår dessa ändå kan omfattas. Bland annat om en störning av tjänsten som tillhandahålls kan ha betydande påverkan på människors liv och hälsa, om organisationen är den enda leverantören av tjänsten i en medlemsstat eller om en störning på tjänsten skulle kunna medföra gränsöverskridande systemrisker.
På grund av att NIS2 innehåller krav på säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som kommer att påverkas utan även deras leverantörer och underleverantörer. På så sätt kommer NIS2 att få betydligt vidare påverkan än enbart på de sektorer som explicit anges i direktivet.
I det första NIS-direktivets implementering i Sverige angavs att det var verksamheterna själva som var ansvariga för att identifiera om de omfattades eller inte. Stöd för organisationer att identifiera om de omfattas finns i MSB föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2021:9) samt i förekommande fall i tillsynsmyndigheternas föreskrifter. Föreskrifterna specificerar de olika sektorerna ytterligare och vilka kriterier som behöver uppfyllas för att omfattas. Om man som verksamhet anser sig omfattas anmäler man sig till berörd tillsynsmyndighet för sin sektor. Anmälningsförfarandet skiljer sig rent praktiskt åt något mellan tillsynsmyndigheterna men går i stort ut på att man anmäler in ett antal uppgifter om sin verksamhet inklusive kontaktuppgifter.
I regeringens direktiv till utredningen om implementeringen av NIS2 står det att samma princip gällande identifiering och anmälning bör vara utgångspunkten även förNIS2 men att utredningen bland annat ska föreslå hur entiteter som omfattas av regleringen ska identifieras och registreras.
NIS2 antogs i december 2022 och medlemsländerna ska nu implementera NIS2 i nationell lagstiftning. Regeringen har beslutat om att tillsätta en utredning för att föreslå de anpassningar av svensk rätt som krävs för att NIS2 ska kunna genomföras. Utredningen ska lämna sitt svar senast den 23 februari 2024 innan direktivet ska börja gälla under hösten 2024.
Martin Palmqvist är senior informationssäkerhetsrådgivare på Secify. Tidigare bakgrund inom flera olika statliga myndigheter, bland annat Regeringskansliet och Myndigheten för samhällsskydd och beredskap. Det roligaste med yrket är hur omväxlande det är med ett stort behov hos verksamheter och många strategiska och komplexa utmaningar.
