Ny informationssäkerhetslagstiftning inom samhällsviktiga och digitala tjänster
EU-direktivet om säkerhet och informationssystem (NIS-direktivet) trädde i kraft i EU 2018 och ställer nya krav på säkerhet i nätverk och informationssystem. NIS-direktivet är ett parallellt direktiv till Dataskyddsförordningen (GDPR). Den 1 augusti 2018 trädde lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning i kraft. Den nya lagen omsätter NIS-direktivets bestämmelser i svensk lag. MSB:s föreskrifter träder i kraft 1 november 2018 (anmälan och identifiering av samhällsviktiga tjänster samt föreskriften om informationssäkerhet för samhällsviktiga tjänster). MSB:s föreskrifter för incidentrapportering träder i kraft 1 mars 2019.
Lagens syfte är att höja skyddet för samhällskritisk infrastruktur inom EU. Sektorer som omfattas är till exempel energi, transport, dricksvattenförsörjning, hälso- och sjukvård, digital infrastruktur samt vissa typer av bolag inom den finansiella sektorn. FI bedömer att färre än 15 aktörer i Sverige omfattas av lagen och förordningen inom den finansiella sektorn (kategoriserad 1 och 2 enligt FI:s tillsynskategorisering). De aktörer som omfattas av lagen måste bland annat kunna redovisa att de arbetar systematiskt och riskbaserat med informationssäkerhet samt även rapportera incidenter.
Vad säger NIS-direktivet?
Den svenska lagen (2018:1174) säger att leverantörer av samhällsviktiga tjänster ska göra en riskanalys som ligger till grund för val av säkerhetsåtgärder som ska bestå av proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem. Vidare ska leverantörer av samhällsviktiga tjänster vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter. Dessa åtgärder ska säkerställa kontinuitet i tjänsterna.
FCG:s analys av NIS-direktivet
NIS-kraven fastställer att berörda banker ska arbeta systematiskt med informationssäkerhet enligt SS-EN ISO/IEC 27001 och 2 standarden. På övergripande nivå tillför NIS-kraven därmed ingenting nytt för banker då FFFS 2014:4 och FFFS 2014:5 omfattar i stort liknande krav.
NIS-direktivet skiljer sig dock åt mot FFFS:erna inom vissa detaljer, så som exempelvis krav på intern utbildning och kompetensspridning avseende informationssäkerhet. Vidare tillkommande krav på banker finns inom § 10 MSBFS 2018:8 som kravställer att berörda banker behöver analysera och kravställa på informationssäkerhet utifrån perspektivet av samhällsviktiga tjänster. Berörda banker ska även rapportera uppkomna incidenter till, förutom FI även MSB.
FCG betraktar NIS-direktivet som ett steg i den fortsatta regleringen inom informationssäkerhetsområdet. Direktivet är på det övergripande planet bra, då den kravställer på strukturerat informationssäkerhetsarbete inom samhällsviktiga tjänster, men för banker som redan har specifik reglering inom området tillkommer det inte så mycket nytt förutom analysen om risker ur ett samhällsperspektiv.
FCG har under lång tid stöttat och hjälpt banker med strukturerat informationssäkerhetsarbete och ser en möjlighet att använda denna kunskap och erfarenhet till att hjälpa andra samhällsviktiga branscher.