NIS, som står för nätverk- och informationssäkerhet, är ett direktiv som ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer, både i privat och offentlig sektor, av samhällsviktiga tjänster samt vissa digitala tjänster och innebär i korthet krav på informationssäkerhet och incidentrapportering. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.
Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:
När det gäller digital infrastruktur så är Post- och telestyrelsen, PTS, tillsynsmyndighet. De tjänster som i dag behöver ta hänsyn till NIS är internetbaserad marknadsplatser, internetbaserade sökmotorer och molntjänster. Fibernät behöver med andra ord inte ta hänsyn till direktivet. Däremot kan kunder som hyr fiberförbindelser av nätägare kravställa enligt NIS så att de själva kan uppfylla kraven.
Det ursprungliga NIS-direktivet, eller ”direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”, antogs av EU under 2016 för att sedan under 2018 omsättas i nationell lagstiftning i EU:s medlemsstater.
Den uppdaterade versionen av direktivet, NIS 2, är fortfarande ett förslag och ligger hos EU:s medlemsstater att ta ställning till. Det är därför svårt att utläsa när nästa steg i processen ska tas, det vill säga realisering av förslaget till lag. Myndigheten för samhällsskydd och beredskap, MSB, som är Sveriges nationella kontaktpunkt för NIS-direktivet, anger på sin hemsida att det ännu är för tidigt att dra några slutsatser om vilka effekter det nya förslaget kan få i en svensk kontext.
En viktig skillnad mellan NIS1 och NIS2 är att det nya förslaget innebär en rejäl utökning av vilka branschen som omfattas av regelverket. Det talas om myndighetstillsyn och rejält utökad möjlighet att utdöma böter. Tillsynsmyndigheter ska även få mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt.
Det senaste förslaget om NIS 2 är ett utkast till en sammanställning från Europaparlamentet utgiven den 5 maj med förslag till ändringar och tillägg. Sannolikt är att fler kompletteringar kommer att ske under året innan förslaget är helt klart. Några intressanta förslag till ändringar i direktivet är:
Vad säger PTS om förslaget? Myndigheten jobbar just nu med frågan, men inriktningen som de lutar mot är att även fortsättningsvis utesluta fibernätet och stadsnätsverksamheterna under NIS 2.
Enligt tidsplanen kommer dagens direktiv att ersättas med NIS 2 om cirka två år. Tills det nya förslaget är på plats får vi fortsätta att följa utvecklingen.
Jimmy Persson
Utveckling- och säkerhetschef
Svenska Stadsnätsföreningen
Det här är en artikel från magasinet Stadsnätet, oktober 2021.