NIS-direktiv påverkar offentlig sektor

Snart träder den nya dataskyddsförordningen GDPR i kraft inom EU, som OFFENTLIGA AFFÄRER rapporterat om. Men nu kommer NIS-direktivet, som påverkar den offentliga sektorn.
OFFENTLIGA AFFÄRER har på sistone rapporterat en hel del kring EU-direktivet GDPR, som ersätter PUL (personuppgiftslagen). Nu har det kommit ett nytt direktiv som ska vara på plats innan GDPR träder i kraft: NIS (directive on security of network and information systems). Men till skillnad från GDPR så handlar NIS inte om persondata utan om nätverk och IT-säkerhet.

Pekar ut sektorer
NIS pekar ut ett antal specifika sektorer – energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur.
OFFENTLIGA AFFÄRER tog hjälp av Jonas Dellenvall, CTO på cybersäkerhetsföretaget Advenica, för att reda ut de begrepp som är viktiga att känna till för den som arbetar i kommun, kommunalt bolag och övrig offentlig sektor i Sverige.
– Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna, säger Jonas Dellenvall. NIS-direktivet är till för att höja skyddsnivån när det gäller samhällskritisk infrastruktur.
Vad är skillnaden mellan GDPR och NIS?
– NIS handlar om att höja skyddet för infrastrukturen. GDPR å andra sidan handlar om att skydda personuppgifter. Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktioner.
När sker införandet?
– GDPR träder i kraft den 26 maj nästa år (2018) och NIS den 10 maj. I bägge fallen är skydd av information en viktig del för såväl uppfyllnad som effektivitet. Dock har GDPR tyngdpunkten på konfidentialitet, medan NIS ställer högre krav på integritet och tillgänglighet.
Vad ser du för utmaningar och risker?
– Det kan bli väldigt dyrt för många organisationer. Få organisationer har kapacitet och kunskap att anpassa sin verksamhet på den korta tid som är kvar. Det kan bli dyrare ju längre du väntar. Deadline för anpassning är redan satt i och med direktivet.
Detta är en kortare variant av intervjun med Jonas Dellenvall (bilden). Hela intervjun publiceras i nr 3 av OFFENTLIGA AFFÄRER med utgivning sista juni 2017.
Här finns ytterligare information om NIS-direktivet:
Direktivet:
 https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
Direktivet till utredningen om genomförande:
http://www.regeringen.se/496928/contentassets/470cb8fc3b9345dc81e8366457d2859a/genomforande-av-eu-direktiv-om-atgarder-for-en-hog-gemensam-niva-av-sakerhet-i-natverk-och-informationssystem-dir.-201629
Om den obligatoriska incidentrapporteringen för myndigheter:
http://computersweden.idg.se/2.2683/1.651873/myndigheter-it-incidenter
 

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *