Tillsynsmeddelande 14.5.2018 – 30/2018

EU:s direktiv om nät- och informationssäkerhet träder i kraft nationellt 9.5.2018

Europaparlamentet och rådet antog direktivet (det s.k. NIS-direktivet) om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen ((EU) 2016/1148) den 6 juli 2016. Den direktivsenliga nationella lagstiftningen och förpliktelserna enligt den träder i kraft den 9 maj 2018. Förpliktelserna berör framför allt företag och leverantörer av samhällsviktiga och digitala tjänster som är kritiska med tanke på försörjningsberedskapen.

​Direktivets övergripande syfte är att öka nivån på skyddet mot incidenter, risker och hot avseende nät- och informationssäkerheten. Syftet är att uppnå en hög säkerhetsnivå för nätverks- och informationssystem i EU genom att förbättra beredskapen på nationell nivå, öka samarbetet på EU-nivå och föreskriva riskhanterings- och rapporteringsskyldigheter för leverantörer av samhällsviktiga tjänster och vissa leverantörer av digitala tjänster.

Medlemsstaterna åläggs att för varje sektor som hör till direktivets tillämpningsområde identifiera de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium.

För finanssektorns del är sådana leverantörer av samhällsviktiga tjänster som avses i direktivet kreditinstituten1 och finansmarknadsinfrastrukturen2. I praktiken finns det för närvarande en sådan infrastrukturaktör som avses i direktivet i Finland, dvs. Nasdaq Helsinki Oy.Den nya lagstiftningen ålägger tjänsteleverantörer att utan onödigt dröjsmål till den behöriga myndigheten eller CSIRT-enheten rapportera hot och incidenter avseende informationssäkerheten som har en betydande inverkan på kontinuiteten i de samhällsviktiga tjänster som de tillhandahåller. Rapporterna ska innehålla information som gör det möjligt för den behöriga myndigheten att fastställa vilken betydelse eventuell gränsöverskridande inverkan har.

Finanssektorns aktörer har redan före ikraftträdandet av lagstiftningen haft skyldigheter som motsvarar direktivets krav att ordna hanteringen av operativa risker och säkerheten i informationssystem samt att rapportera nätverks- och informationssäkerhetsincidenter. Ikraftträdandet av direktivet om nät- och informationssäkerhet ändrar inte förpliktelserna och medför inga nya, utan Finansinspektionens tidigare föreskrifter och anvisningar om hantering och rapportering av operativa risker gäller fortfarande. Nätverks- och informationssäkerhetsincidenter ska alltid rapporteras till Finansinspektionen. Leverantörer av finanssektorns tjänster kan enligt egen prövning dessutom rapportera till CSIRT-enheten (Kommunikationsverket).

Länk till föreskrifter och anvisningar:

Föreskrifter och anvisningar 8/2014 Hantering av operativa risker i företag under tillsyn inom finanssektorn

Närmare upplysningar lämnas av

  • Anne Nisén, ledande riskexpert, telefon 09 183 5211, anne.nisen(at)fiva.fi
  • Heli Mäkitalo, riskexpert, telefon 09 183 5369, heli.makitalo(at)fiva.fi

1Kreditinstitut enligt definitionen i artikel 4.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013.

2Operatörer av handelsplatser enligt definitionen i artikel 4.24 i Europaparlamentets och rådets direktiv 2014/65/EU och centrala motparter enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 648/2012.

Motsvarande tillsynsmeddelande på finska publicerades den 8 maj 2018.