Compliance • Artikel
29 mars, 2021
Del 1: Vad är NIS-direktivet?
Parallellt med att allt fler av våra samhällsviktiga tjänster och funktioner digitaliseras ökar även behovet av att kunna skydda dessa mot cyberangrepp och säkerhetsincidenter. Som en följd av det har lagen skärpts genom det så kallade NIS-direktivet, en europeisk lag som syftar till att uppnå en gemensam säkerhetsnivå i samhällskritiska nätverk och informationssystem. Det här är första delen i Sentors artikelserie om den nya lagen.
NIS-direktivet - En introduktion
Det ökade användandet av digitala tjänster och produkter har lett till att EU för första gången har avtalat om en gemensam uppsättning regler kring cybersäkerhet, det så kallade NIS-direktivet. Till skillnad från den nya dataskyddsförordningen, GDPR, handlar NIS-direktivet inte om personuppgifter, utan syftar till att uppnå en hög säkerhetsnivå i samhällskritiska nätverk och informationssystem.
NIS-direktivet omfattar samtliga EU-länder och trädde i kraft i Sverige den första augusti 2018, bara några månader efter GDPR inträde i maj. 2018 är därmed det kanske tyngst lastade året i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda information och personlig integritet, både inom privat och offentlig sektor.
Vilka omfattas av NIS-direktivet?
Till skillnad från GDPR berörs inte alla företag och organisationer av NIS-direktivet som istället är dedikerat för att säkerställa en hög informationssäkerhetsstandard i samhällsviktiga och digitala tjänster. I praktiken innebär det att direktivet omfattar:
- Utvalda leverantörer av samhällsviktiga tjänster
- Vissa leverantörer av digitala tjänster
- Utvalda myndigheter, så kallade tillsynsmyndigheter
Dessa företag och organisationer kommer påverkas av NIS-direktivet i olika utsträckning, både i form av rapporteringsskyldigheter och säkerhetsåtgärder. Det är upp till organisationerna själva att undersöka om dess tjänster kan komma att omfattas av NIS-regleringen eller inte.
Du kan läsa mer om hur de olika aktörerna utses och påverkas här.
Konsekvenser vid överträdelse
Gällande vite gör varje EU-nation sin egen översättning till lämplig lokal lag, vilket innebär att konsekvenserna kommer se annorlunda ut i olika länder. Organisationer bestraffas i det medlemsland som de har sitt huvudsakliga säte. Det innebär för organisationer med säte i Sverige att de kan drabbas av ett maximalt vite på 10 miljoner SEK vid en lagöverträdelse.
I andra länder är dock konsekvenserna väsentligt större. I Storbritannien till exempel, har man trots det pågående EU-utträdet, valt att tillämpa direktivet och där kan organisationer bestraffas med upp till 17 miljoner pund eller 4 procent av den årliga koncernomsättningen i böter.
Övriga delar i vår artikelserie om NIS-direktivet
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel