Den svenska tillämpningen av NIS2-direktivet håller på att implementeras i nationell lagstiftning, med lagförslag som väntas beslutas under 2025. Direktivet omfattar bland annat samhällskritiska sektorer såsom energi, transport, finans, hälso- och sjukvård, samt vissa digitala tjänster och IKT-leverantörer. Unikum omfattas inte direkt, men påverkas genom sina kunder inom offentlig förvaltning. Därför arbetar Unikum på ett sätt som gör att vi stödjer huvudmännens arbete med att leva upp till de krav som den svenska tillämpningen av NIS2 för med sig. Detta genom en kombination av säkerhetsåtgärder, riskhantering och regulatorisk efterlevnad.
Vårt informationssäkerhetssystem (ISMS) baserat på KLASSA-ramverket är basen för arbetet. De tekniska säkerhetsåtgärderna omfattar kryptering av data vid överföring och lagring, autentisering via exempelvis BankID, samt loggning och spårbarhet av åtkomst till personuppgifter. För att hantera cybersäkerhetsrisker finns en kontinuerlig övervakning av system och redundanta säkerhetskopior.
I relation till våra kunder upprättas ett personuppgiftsbiträdesavtal (PuB-avtal) som reglerar behandlingen av såväl personuppgifter som andra dataskyddsaspekter, och säkerställer att endast behöriga användare har tillgång till känslig data. Underbiträden som hanterar personuppgifter granskas och säkerhetskrav ställs enligt NIS2-direktivets principer.
Unikum har etablerade processer för incidentrapportering och kontinuitetsplanering. Vid en säkerhetsincident finns rutiner för att informera kunder inom 24 respektive 72 timmar, samt åtgärder för att minska konsekvenserna av eventuella dataintrång. DDoS-skydd, penetrationstester och säkerhetsrevisioner genomförs regelbundet för att minska risken för driftstörningar.
Vårt dataskyddsarbete som relaterat till NIS2 (och GDPR) övervakas och kontrolleras såväl av externt Dataskyddsombud (DSO) som av regelbunden revision från flera av våra kunder. Unikum informerar löpande kunder om arbetet med Dataskydd genom nyhetsbrevet “Dataskydd i Unikum” och årlig summering av dataskyddsrevision görs tillgänglig för våra kunder.