Nytt direktiv straffar myndigheter och företag som inte sköter sin IT-säkerhet
Flera företag och myndigheter har drabbats av säkerhetsincidenter den senaste tiden, däribland SJ och Trafikverket. När det nya NIS-direktivet träder i kraft i maj nästa år kommer IT-säkerhetsincidenter likt de som nyss inträffat att kunna leda till större konsekvenser för organisationer som bedöms vara en del av vår kritiska infrastruktur.
NIS-direktivet träder i kraft i Maj 2018, strax före GDPR, den nya dataskyddsförordningen. Maj 2018 – eller Regulation May – är således den kanske tyngst lastade månaden i modern historia vad det gäller upptrappningar av skyldigheter av olika slag för organisationer rörande deras förmåga att skydda sin information och integritet, både inom privat och offentlig sektor.
Till skillnad från GDPR är NIS-direktivet dedikerat för vissa organisationer som tillhandahåller samhällsviktiga och digitala tjänster i syfte att stärka säkerheten i nätverk och system. Dessa organisationer kommer i olika utsträckning behöva vidta säkerhetsåtgärder för att etablera och upprätthålla den IT-säkerhetsstandard direktivet kräver. Direktivet innefattar krav på bland annat incidenthantering, rapporteringsskyldigheter samt årliga säkerhetsanalyser.
Säkerhetsincidenter får större konsekvenser
Förra veckan avslöjade SVT att flera svenska myndigheter och företag har drabbats av den omfattande dataintrångshärvan, flera utan att ens veta om det. Bland de utsatta finns SJ som har bekräftat uppgifterna. SJ har i veckan också varit ropet efter att bokningssystemet havererade och tågtrafiken utsattes för störningar till följd av en överbelastningsattack hos Trafikverkets underleverantörer DGC och TDC.
I och med NIS-direktivets inträde kan incidenter likt de som drabbade SJ få större konsekvenser än vad de får idag. Samtliga inblandade parter, i det här fallet Trafikverket, SJ och den berörda internetleverantören, kommer i praktiken omfattas av direktivet och riskerar därmed böter om liknande incidenter upprepas i framtiden.
Även säkerhetsincidenter i stil med de som nyligen drabbade Transportstyrelsen kommer kunna leda till konsekvenser, såväl för myndigheterna själva som för de digitala tjänsteleverantörer som samarbetar med myndigheter när direktivet omsatts i Svensk lag, senast den 10:e Maj 2018.
Få svenska företag är rustade för de nya kraven
Krister Hedfors, ansvarig för projekt inom NIS-direktivet på säkerhetsföretaget Sentor, menar att få svenska organisationer har inlett arbetet mot efterlevnad, trots att det enligt direktivet är mindre än sju månader kvar till deadline för när den svenska lagen skall träda i kraft:
- Eftersom NIS-direktivet har opererat i skuggan av GDPR har många företag och myndigheter ännu inte påbörjat arbetet mot efterlevnad. Direktivet hotar i dagsläget inte med lika höga böter som GDPR i den svenska interpretationen, dock finns till exempel ett liggande lagförslag i Storbritannien där bötesbeloppen är i linje med GDPR, alltså från 20 miljoner euro upp till 4 % av koncernomsättningen. Direktivet riktar sig mot samhällskritiska verksamheter vilket är fullt rimligt givet den hotbild vi ser idag. Med händelserna kring bland annat Transportstyrelsen, Polismyndigheten och nu senast Trafikverket har IT-säkerhet inom samhällsviktiga organisationer blivit ett högst aktuellt och känsligt ämne. Drabbade organisationer och ansvariga individer får i många fall utstå hård kritik. Med de nya, tuffare kraven kan konsekvenserna bli än mer kännbara för berörda aktörer som inte kontinuerligt upprätthåller sitt risk- och säkerhetsarbete.
Marketing Manager
tomas.wahlstedt@sentormss.com
0707 573 009
Om Sentor
Sentor erbjuder innovativa managerade säkerhetstjänster till kunder över hela världen. Med ett Security Operations Center bemannat av säkerhetsanalytiker 24/7 och med den senaste teknologin på marknaden, kan Sentor upptäcka och blockera attacker för våra kunder i nära realtid. Sentor har även ett team av högkvalificerade säkerhetskonsulter som stöttar företag med tjänster inom informationssäkerhet och teknisk IT-säkerhet.
Taggar: