NIS-direktivet

Direktivet syftar till att uppnå en hög säkerhetsnivå i nätverk och informationssystem inom hela EU, till skillnad från GDPR som är dedikerat för personuppgifter. Det innebär att utvalda leverantörer av samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster behöver vidta säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. De områden som omfattas av direktivet är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

För privata aktörer handlar NIS-direktivet främst om rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, exempelvis ISO 27000, för hantering av risker relaterade till just nätverk. För offentliga aktörer, däribland Sveriges samtliga myndigheter, ska samtliga IT-tjänsteavtal även inkludera krav på att tjänsteleverantören upprätthåller incidentrapportering av samma karaktär som myndigheterna själva.