Flera företag och myndigheter har utsatts för säkerhetsincidenter den senaste tiden, däribland de upp till 700 företag, myndigheter och organisationer som är drabbade i den nu aktuella ”dataintrångshärvan”.

När EU:s nya NIS-direktiv träder i kraft nästa år leder it-säkerhetsincidenter till större konsekvenser för organisationer som är en del av Sveriges samhällsviktiga infrastruktur.

NIS-direktivet träder i kraft i maj 2018, strax före GDPR, den nya dataskyddsförordningen. Maj 2018 – eller Regulation May som förändringen också kallas – är den tyngst lastade månaden i modern historia när det gäller upptrappning av skyldigheter av olika slag för organisationer att skydda sin och slutkundernas information och integritet, både inom privat och offentlig sektor.

Till skillnad från GDPR, som syftar till att skydda personuppgifter, behandlar NIS-direktivet säkerheten i system och nätverk. NIS-direktivet gäller organisationer som tillhandahåller samhällsviktiga och digitala tjänster. Dessa organisationer behöver vidta säkerhetsåtgärder för att etablera och upprätthålla den säkerhetsstandard direktivet kräver. Bland kraven ingår till exempel incidenthantering, rapporteringsskyldigheter och årliga säkerhetsanalyser.

En väsentlig skillnad är att NIS-direktivet inte hotar med lika höga böter som GDPR. I det svenska lagförslaget kan vitet bli högst 10 miljoner kronor. Däremot ligger det föreslagna bötesbeloppet i Storbritannien, trots landets pågående utträde ur EU, i linje med GDPR, alltså från 20 miljoner euro upp till 4 procent av koncernomsättningen. För dem som bedriver verksamhet i flera länder kan kostnaderna bli omfattande.

IT-säkerhet inom samhällsviktiga organisationer har blivit ett högst aktuellt och känsligt ämne, inte bara för oss i branschen. Det visar inte minst det som skett på Transportstyrelsen och Polismyndigheten.

Parallellt fortsätter nya uppgifter om incidenter och slappa förhållningssätt till IT-säkerhet bland landets samhällsviktiga verksamheter att radas upp, trots att de både har ögonen på sig och pressas av nya regelverk. Men faktum är att dessa organisationer redan omfattas av krav kopplade till deras it-säkerhet. Sedan april i år är alla statliga myndigheter rapporteringsskyldiga till MSB när säkerhetsincidenter inträffar.

I och med NIS-direktivet utvidgas säkerhetskraven till att även omfatta verksamheter som är kopplade till myndigheter och samhällsviktiga funktioner. Samtidigt uppger 118 av de 165 kommuner som deltog i en ny undersökning gjord av Dagens Samhälle att de inte har utfört den säkerhetsanalys som ligger till grund för en adekvat incidenthanteringsplan. Det är med andra ord få som har tagit första steget mot anpassning till de nya direktiv och förordningar som träder i kraft om mindre än sju månader.

Trots både rådande och kommande regelverk möter vi på Sentor fortfarande många organisationer, både inom privat och offentlig sektor, som har en lång väg kvar innan de kan visa upp en säkerhetsstandard som möter både NIS-direktivets och GDPR:s krav. De behöver komma till insikt om att tillräckligt allvarliga it-säkerhetsincidenter inte bara utgör hot mot rikets säkerhet. Det handlar också om att skydda medborgarna och säkerställa att känsliga personuppgifter inte hamnar i fel händer.

Berörda organisationer behöver ge it-säkerhet en prioriterad plats i sitt arbete. Viktigt är att inleda med en översiktlig analys för att få en lägesbild av vad som behöver göras för att direktivet ska kunna efterlevas.

Tiden är knapp,en rimlig målsättning som kan uppnås på ett halvår är att placera sig ”före klungan” för att därigenom minska organisationens samlade risker. Inte minst den för kostsamma utfall i händelse av myndighetsinitierade granskningar.

Det är med andra ord hög tid för företag och myndigheter att vakna upp och inse att de måste ta ett större ansvar för sin it-säkerhet.