Presentation från frukostseminarium om NIS hos B3 i Stockholm den 6e november 2018

1. May-Lis Farnes
070-6227357
may-lis.farnes@b3.se
Frukostseminarium 6 november om NIS-lagstiftningen

2. Identifierar fyra nyckelområden:
1. Miljöförstöring och
naturkatastrofer
2. Cyberavbrott/attacker
3. Ekonomiska
påfrestningar
4. Geopolitiska spänningar

3. Topp 5 risker baserat på sannolikhet

4. Behovet av informationssäkerhet ökar,
då hoten och riskerna ökar
Digitalisering
Hot

5. Informationssäkerhet handlar om skydd av tillgångar
Informationssäkerhet
GDPR
Lagstiftning
Person-
uppgifter
Affärskritisk
information
Samhällskritisk
information
NIS
Lagstiftning

6. NIS direktivet

7. §För att säkra att EU innevånare
−Har tillgång till energi
−Har tillgång till dricksvatten
−Har tillgång till transporter
−Kan få sjukvård
−Kan betala för varor och tjänster
−Kan ha tillgång till kritiska digitala tjänster
Varför NIS direktivet?

8. NIS lagstiftningen i Sverige
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
Fastställd 2016 Gäller från 1 augusti 2018 1 november 2018
EU-direktiv
NIS lagen
NIS
förordningen

13. § Ställer krav på systematiskt och riskbaserat informationssäkerhetsarbete
§ Anmälan ska göras till tillsynsmyndighet
§ Böter kan utfärdas
§ Incidentrapportering och korrigerande åtgärder
Vad innehåller NIS lagstiftningen?

14. Berörda sektorer och tillsyn
Sektor Tillsynsmyndighet
Energi Statens energimyndighet
Transporter Transportstyrelsen
Bankverksamhet Finansinspektionen
Finansmarknadsinfrastruktur Finansinspektionen
Hälso- och sjukvård Inspektionen för vård och omsorg
Leverans och distribution av
dricksvatten
Livsmedelsverket
Digital infrastruktur Post- och telestyrelsen
Digitala tjänster Post- och telestyrelsen

15. Gemensam tillsynsmyndighet
för anmälan och incidentrapportering
Sektor Tillsynsmyndighet
Energi Statens energimyndighet
Transporter Transportstyrelsen
Bankverksamhet Finansinspektionen
Finansmarknadsinfrastruktur Finansinspektionen
Hälso- och sjukvård Inspektionen för vård och omsorg
Leverans och distribution av
dricksvatten
Livsmedelsverket
Digital infrastruktur Post- och telestyrelsen
Digitala tjänster Post- och telestyrelsen

16. NIS lagstiftningen i Sverige
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
MSB föreskrifter
NIS lagen
NIS
förordningen
+
LEK
Patientsäkerhets-
lagen
Säkerhetsskydds-
lagen

17. Vilka organisationer berörs?
Hälsa och sjukvård
50 vårdpersonal
MSB föreskrift

18. El

19. Bank
Finans

20. Vilka krav gäller?
MSB föreskrift

21. §Bygga upp ett ledningssystem för informationssäkerhet med
stöd i ISO 27001
§Ledningen ska ta ansvar (ledningens ansvar)
§Ha en tydlig riskhanteringsprocess
§Informationsklassning (identifiera tillgångar)
§Resurser och kompetens (säkerhetsmedvetande och utbildning)
§Dokumenterade rutiner och ha alternativa rutiner
(Kontinuitetsplanering) + öva
Vilka krav gäller? Ledningssystem

22. Systematisk säkerhetsarbete
Säkerhetsåtgärder

23. §Ändamålsenliga åtgärder
§Utvärdera åtgärderna
§Dokumentera åtgärderna
Vilka krav gäller? Säkerhetsåtgärder

24. §Incidenthantering
§Rapportera incidenter till MSB inom 6 timmar
§Korrigerande åtgärderna för att förhindra nya åtgärder
Vilka krav gäller? Incidenthantering

25. §Utvärdera (periodiska kontroller)
§Anpassa och utveckla
Vilka krav gäller? Ständiga förbättringar

26. Och alla leverantörer!
Volvo
Underleverantör
Underleverantör
Underleverantör
Underleverantör
Underleverantör
Underleverantör
Underleverantör
Underleverantör
Underleverantör

27. Och alla leverantörer!
Digital trust

28. Tips och råd
TTT
Integrera
HHH

29. Integrera
Personlig integritet
GDPR
Skydd av
samhällskritiska
tillgångar
NIS lagstiftningen
Annan reglering
Skydd av
affärskritiska
tillgångar
Informationssäkerhet
Minska risker för
bolaget
Digital trust
Ledningssystem för
informationssäkerhe
t + säkerhetsåtgärder
+ människorna

30. § Utred om ni berörs och skapa underlag för anmälan
§ Börja med en GAP-analys som identifierar status och nödvändiga åtgärder.
§ Gör en plan för genomförande av åtgärderna.
§ Genomför åtgärder.
§ Informera, motivera och utbilda
Tips och råd
HHH

31. NIS första steg
31
NIS
Lagen
Förordning
MSB
Föreskrifter
Organisation
infosäk
IT-säkerhet
StatusFörslag till
åtgärder
Tidplan lagstiftningen
Erfarenhet arbete med
informationssäkerhet
Compliance
Tabell
(Krav tabell)
Anmälan

32. Att införa NIS kraven är ett förändringsarbete
GAP-analys
VAD ska göras
Införande av åtgärder
Utbilda
Skapa förmågan hos
organisationen
Förvaltning
Förebyggande
åtgärder
Ständiga
förbättringar
InförandeFörstudie Löpande stöd

33. Vad finns som stöd?

34. B3 kan stödja i hela processen, från förstudie till införande
till löpande stöd när organisationen operativt använder
ledningssystemet.
Annan hjälp?