Höstnytt!
Under höst/vinter 2015 kommer regeringen och EU-kommissionen ta beslutom initiativ som har bäring på it och informationssäkerhet. Realiseringen av dessa initiativ kommer omfatta många aktörer och det kan komma att ge en påverkan på den verksamheten du arbetar i. Tidsplanen för vissa av aktiviteterna är forcerad och beslut kan komma att träda i kraft redan 1 januari 2016. För att vara redo gäller det att ha koll på vad som händer och vilka konsekvenser det innebär för dig. Vi har nedan sammanställt en lista på de mest intressanta om omfattande initiativen:
Informations- och cybersäkerhet i Sverige (länk) | |
Status: Regeringen kommer efter avslutat remissrunda ta beslut om genomförandet. Planerad start av aktiviteter 1 jan 2016. | |
Berörda aktörer: Statliga myndigheter | |
Syfte
att föreslå strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system. |
Aktiviteter
|
NIS-direktivet (länk) |
|
Status: EU-kommissionen har 6 okt 2015 fattat ett inriktningsbeslut, återstående förhandlingar kvarstår under 2015. Beslut effektualiseras efter 2 år. | |
Berörda aktörer: Myndigheter, kommuner, landsting och enskilda (med koppling till samhällsfuktioner). | |
Syfte: att uppnå och vidmakthålla en hög gemensam nät- och informationssäkerhet inom hela EU för att förbättra den inre marknadens funktion. |
|
EU Data Protection Regulation, Directive (länk) |
|
Status: EU-kommissionen kommer efter avslutade förhandlingar ta beslut om genomförandet. Beslut väntas i slutet av 2015. Beslut effektualiseras efter 2 år. | |
Berörda aktörer: All verksamhet inom EU eller dess partners utanför EU, som behandlar personuppgifter | |
Syfte: att modernisera reglerna i dataskyddsdirektivet från 1995 och få till stånd en mer enhetlig tillämpning inom EU. |
|
Tillsyn avseende informationssäkerhet
Utökad tillsyn kommer att mycket sannolikt att införas. I nuläget är det dock oklart vilka aktörer som omfattas av detta krav. Från Sveriges sida förespråkas statliga myndigheter, medan EU menar att även offentlig verksamhet och vissa privata aktörer ska inluderas. EU vill även att aktörer som inte kan påvisa en acceptabel säkerhetsförmåga ska åläggas ett vite.
Tidpunkt för tillsyn av informationssäkerhet kommer troligen att landa under 2017. Tiden fram tills dess bör fokuseras på förberedelse för detta:
- Gör en nuläges analys av informationssäkerhetsförmågan inom verksamheten
- Gör en GAP-analys mot lämpligt regelverk t.ex. ISO27001
- Planera och prioritera aktiviteter utifrån ett riskbaserat perspektiv
Obligatorisk incidentrapportering
Obligatorisk incidentrapportering har diskuterats i flera år och verkar nu vara på gång att reliseras. Inikesminister Ander Ygeman har vid flera tillfällen kommunicerat den 1 jan 2016, som skarpt datum för start av detta. Hur detta ska ske är dock inte fastställt, vilket gör tidshänvisningen något vag. Sverige har också sagt att man kommer anpassa rapporteringen till NIS-direktivet, vilket gör omfattning och hantering oklar.
Tidpunkt för obligatorisk incidentrapportering kommer starta 1 jan 2016, men troligen införas i flera steg. Den knappa tiden fram tills dess bör följande aktiviteter vidtas:
- Se över vilka sekretessavtal som verksamheten är knuten till
- Gör en initial analys av vilka sektessavtal som kan komma att behöva anpassas till den obligatoriska incidentrapporteringen
- Då mer information om hanteringen för obligatorisk incidentrapportering kommer ut, säkerställ att den initiala analysen var korrekt, korrrigera vid behov och genomför lämpliga förändringar
Översyn av integritet
Den personliga intigriteten ska få ett stärkt skydd med en ny version om dataskyddsförordningen. Det kommer i praktiken att innebära att personuppgiftslagen ersätts med dataskyddsförordningen, vilken då kommer gälla som lag i Sverige. Då beslut om detta ska tas både inom EU och av Sveriges regering är det troligt att tidpunkt för effektualisering ligger tidigast 2017. Fram tills dess bör verksamheten förbereda sig med flera åtgärder:
- Om verksamheten har fler än 250 anställda, bör ni utse en ansvarig för integritetsfrågor, som blir single point of contact för alla frågor inom området.
- Säkerställ att alla informationstillgångar är kartlagda för att kunna påvisa vilken data som sparas, var och varför den sparas på en viss plats.
- Se över om sekretessavtal behöver berarbetas; tex kan dessa behöva finnas tilgängliga på engelska.
- Säkerställ att process och rutiner för hantering och radering av information finns tillgängliga och är uppdaterade.
Lycka till!