NIS, som står för nätverk- och informationssäkerhet, är ett direktiv som ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer, både i privat och offentlig sektor, av samhällsviktiga tjänster samt vissa digitala tjänster och innebär i korthet krav på informationssäkerhet och incidentrapportering. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.
Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer:
Bankverksamhet
Digital infrastruktur
Energi
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Leverans och distribution av dricksvatten
Transport
När det gäller digital infrastruktur så är Post- och telestyrelsen, PTS, tillsynsmyndighet. De tjänster som i dag behöver ta hänsyn till NIS är internetbaserad marknadsplatser, internetbaserade sökmotorer och molntjänster. Fibernät behöver med andra ord inte ta hänsyn till direktivet. Däremot kan kunder som hyr fiberförbindelser av nätägare kravställa enligt NIS så att de själva kan uppfylla kraven.
Det ursprungliga NIS-direktivet, eller ”direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”, antogs av EU under 2016 för att sedan under 2018 omsättas i nationell lagstiftning i EU:s medlemsstater.
Den uppdaterade versionen av direktivet, NIS 2, är fortfarande ett förslag och ligger hos EU:s medlemsstater att ta ställning till. Det är därför svårt att utläsa när nästa steg i processen ska tas, det vill säga realisering av förslaget till lag. Myndigheten för samhällsskydd och beredskap, MSB, som är Sveriges nationella kontaktpunkt för NIS-direktivet, anger på sin hemsida att det ännu är för tidigt att dra några slutsatser om vilka effekter det nya förslaget kan få i en svensk kontext.
En viktig skillnad mellan NIS1 och NIS2 är att det nya förslaget innebär en rejäl utökning av vilka branschen som omfattas av regelverket. Det talas om myndighetstillsyn och rejält utökad möjlighet att utdöma böter. Tillsynsmyndigheter ska även få mandat att tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda förlägganden på ett effektivt sätt.
Det senaste förslaget om NIS 2 är ett utkast till en sammanställning från Europaparlamentet utgiven den 5 maj med förslag till ändringar och tillägg. Sannolikt är att fler kompletteringar kommer att ske under året innan förslaget är helt klart. Några intressanta förslag till ändringar i direktivet är:
Rapportering av säkerhetshändelser och hot som inte leder till en incident ska inte omfattas av rapporteringskravet.
Verksamheter har 72 timmar, i stället för 24 timmar, på sig att rapportera om säkerhetshändelser.
Myndigheterna bör också ta en stöttande och uppmuntrande roll mer än att lägga fokus på krav och straff. Det är viktigt att undvika överlappande tillsyn från flera myndigheter.
Root-servrarna i DNS undantas eftersom de sällan drivs av monetära syften.
Man föreslår att ett lagligt stöd för mer samarbete mellan polis och förebyggande myndigheter.
Enligt det ursprungliga förslaget skulle Europeiska unionens cybersäkerhetsbyrå, ENISA, sätta upp en egen EU-motsvarighet till databas för sårbarheter. Det tonas nu ner.
Vad säger PTS om förslaget? Myndigheten jobbar just nu med frågan, men inriktningen som de lutar mot är att även fortsättningsvis utesluta fibernätet och stadsnätsverksamheterna under NIS 2.
Enligt tidsplanen kommer dagens direktiv att ersättas med NIS 2 om cirka två år. Tills det nya förslaget är på plats får vi fortsätta att följa utvecklingen.
Jimmy Persson Utveckling- och säkerhetschef Svenska Stadsnätsföreningen
Det här är en artikel från magasinet Stadsnätet, oktober 2021.
