Vad är NIS direktivet?
NIS (Network and Information Security)trädde i kraft den 1:a augusti 2018 och lagen kallas även för Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. NIS-direktivet är ett EU-direktiv i socialt kritiska sektorer. Direktivet innebär att alla organisationer som bedriver samhällsviktigt verksamhet, såsom vattenförsörjning, elförsörjning, transport, sjukvård, måste påvisa att de strukturerat och kontinuerligt arbetar med säkerheten i sin IT-miljö.
Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i nätverk och informationssystem inom EU. Enligt direktivet skall medlemsstaterna förbereder en nationell strategi för nät-och informationssystems säkerhet, som tar hänsyn till den nationella strategin kring IT-och informationssäkerhet.
Utredningen kring NIS direktivet
Utredningen om genomförande av NIS-direktivet överlämnade betänkandet ”Informationssäkerhet för samhällsviktiga och digitala tjänster” (SOU 2017:36) till inrikesminister Anders Ygeman under 2017.
Utredningen föreslog en ny lag och en ny förordning om informationssäkerhet för vissa leverantörer av samhällsviktiga och digitala tjänster. Förslagen gäller vissa offentliga och enskilda verksamheter som tillhandahåller samhällsviktiga tjänster inom sju skyddsvärda sektorer; energi, transporter, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Även leverantörer av digitala tjänster omfattas av förslagen. För att omfattas av bestämmelserna krävs att tjänsten är beroende av nätverk eller informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.
Leverantörerna föreslås bland annat bli skyldiga att vidta tekniska och organisatoriska säkerhetsåtgärder och rapportera allvarliga it-incidenter till Myndigheten för Samhällsskydd och Beredskap (MSB). En tillsynsmyndighet för varje sektor föreslås få ansvar för att övervaka att regelverket följs och att kraven i lagstiftningen har fått effekt på säkerheten. Tillsynsmyndigheten ska få befogenhet att besluta om sanktioner.