Knappt har trycksvärtan svalnat på GDPR förrän det är dags för nästa direktiv inom informationssäkerhetsområdet: NIS-direktivet. The Directive on security of network and information systems är till för att höja medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur.
Vid en första anblick är det lätt att tro att GDPR och NIS har stort överlapp, men faktum är att skillnaderna är större än likheterna. Därför kommer här en genomgång av några av dessa skillnader. Håll till godo!
NIS tolkas olika för varje medlemsstat
NIS är ett direktiv. Det innebär att det skall anpassas till nationell lagstiftning i varje medlemsstat. Det innebär att det kommer att vara skillnader i tillämpningen i respektive land. I Sverige genomför justitiedepartementet en utredning om hur NIS skall införas i svensk lagstiftning. Redovisning av utredningen skall ske senast 1 maj 2017.
NIS berör andra aktörer
NIS pekar ut ett antal specifika sektorer: Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur.
NIS handlar om att höja skyddet för denna infrastruktur. GDPR å andra sidan handlar om att skydda personuppgifter. Det finns aktörer som berörs av bägge direktiven, men för dessa är det oftast olika avdelningar som berörs. För ett elbolag till exempel är NIS mer relevant för leverans- och driftorganisationen, medan GDPR mer berör kundservice- och ekonomifunktionerna.
NIS kräver en högre säkerhetsnivå
Advenicas bedömning är att det är tillräckligt med normal IT-säkerhet för anpassningen till GDPR. Den som på ett ansvarsfullt sätt har använt ”vanliga” IT-säkerhetsprodukter och skött uppdateringar, konfiguration och arkitektur och har implementerat det processtöd som behövs kommer sannolikt inte att drabbas av sanktionsavgifter även ifall det sker en incident. Förutsatt att incidentrapportering, och korrigering av felet när det väl blivit känt, hanteras på ett ansvarsfullt sätt.
Med NIS är syftet ett annat. Genom att höja säkerheten i de utpekade sektorerna skall samhällets robusthet mot yttre störningar höjas. Det innebär ett behov att skapa skydd mot även statsstödda aktörer som med stor uthållighet och stora resurser kan utföra attacker. Att skydda mot sådana aktörer är inget nytt – det har gjorts under många år vad avser skydd av statshemligheter. Det begrepp som används är assurans.
Med högassuranslösningar menas att man har gjort allt vad som krävs för att vara övertygad om att systemen är säkra under alla förhållanden – även om de utsätts för extrem press. Att visa att ett system är säkert innebär att påvisa frånvaron av fel – något som är fundamentalt annorlunda och svårare än att påvisa närvaron av rätt.
NIS riskerar att bli otydligare
Med GDPR är kravställningen relativt konkret i sin utformning. Exempel: ”rätten att bli glömd” lämnar inte mycket utrymme för tolkningen att bli ”nästan glömd”. Detta tillsammans med väl tilltagna och avskräckande sanktionsbelopp talar för ett gott efterföljande i faktisk implementation.
Med NIS är risken stor att kravställningen blir otydlig.
Genom en välvillig önskan att inte detaljstyra, och att därmed kravställa på en hög abstraktionsnivå – riskeras en bristande implementationsgrad.
Om man till exempel kravställer att ”verksamheten skall ha en för skyddsbehovet anpassad skyddsnivå” eller som motsatt exempel kräver att ”vattenförsörjning skall inte vara möjlig att slå ut på distans” ger det helt olika möjligheter till tolkning.
Avslutningsvis finns det ett antal likheter:
Införandet sker samtidigt
GDPR träder i kraft den 26 maj 2018, NIS den 10 maj.
Informationssäkerhet är en del av lösningen
I bägge fallen är skydd av information en viktig del för såväl uppfyllnad som effektivitet. Dock har GDPR tyngdpunkten på konfidentialitet, medan NIS ställer högre krav på integritet och tillgänglighet.
Brist på tillgänglig kompetens
Få organisationer har kapacitet och kunskap att anpassa sin verksamhet på den korta tid som är kvar. Det leder till stor efterfrågan och brist på informationssäkerhetskonsulter och tjänster.
Avslutningsvis – om du är ansvarig för en verksamhet inom någon av de sju utpekade sektorerna: Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur – det är dags att börja planeringen nu. Deadline för din anpassning är redan satt i och med direktivet. Det som påverkas negativt om du avvaktar är stressnivå och kostnader för din organisation.
För mer information
Direktivet: https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
Direktivet till utredningen om genomförande: http://www.regeringen.se/496928/contentassets/470cb8fc3b9345dc81e8366457d2859a/genomforande-av-eu-direktiv-om-atgarder-for-en-hog-gemensam-niva-av-sakerhet-i-natverk-och-informationssystem-dir.-201629
