I farvattnet av GDPR, i alla fall medialt, kom NIS-direktivet som beslutades på EU-nivå. I Sverige trädde lagen samt förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster i kraft 1 augusti 2018.

NIS står för Network and Information Security och är ett EU-direktiv som berör samhällsviktiga tjänster. I korthet kan man säga att organisationer som bedriver samhällsviktig verksamhet och digitala tjänster måste kunna påvisa att de kontinuerligt bedriver säkerhetsarbete avseende sin IT-miljö.

Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i IT-system och infrastruktur. Med bakgrund av dagens ökade hotbilder där angrepp mot ovanstående är högvilt känns NIS lika självklart som välkommet.

Initialt fick NIS en del kritik för att vara otydlig, vilket kan ligga lite i ett direktivs natur. Ett EU-direktiv beskriver vilket resultat som ska uppnås och behöver därför tolkas till nationell lagstiftning medan en EU-förordning gäller direkt när den trätt i kraft, t.ex. GDPR. Kritiken gällde främst vilka aktörer som skulle omfattas och när en händelse är betydande och därmed blir föremål för en incidentrapport. Det är upp till organisationerna själva att undersöka om dess tjänster kan komma att omfattas av NIS-regleringen eller inte och det finns vägledning att få. Kanske borde kritiken mer riktas mot att det inte är så snyggt förpackat och enkelt att förstå utan att behöva läsa ”allt”.

MSB (Myndigheten för samhällsskydd och beredskap) tillhandahåller dokument i form av bl.a. föreskrifter, allmänna råd och incidentrapporteringsformulär. De sektorspecifika tillsynsmyndigheterna går att kontakta och branschorganisationerna kan hjälpa till med råd och tips.

Många kunder som vi för dialog med kring säkerhet behöver förutom uppmärksammade GDPR även fokusera på NIS-direktivet. Det reella utfallet av NIS blir därför intressant att följa, hur som helst så är det rimligt att direktivet finns med den digitalisering av samhället som sker.