NIS2 – Vad är det och hur påverkar det din verksamhet?

Artikel

Den 18 oktober i år börjar NIS2 gälla och då måste de organisationer som berörs ha anpassat sina verksamheter. Men vad innebär egentligen NIS2 och hur påverkar det din verksamhet? I den här artikeln får du en bakgrund till NIS-direktivet och svar på några av de vanligaste frågorna kopplat till NIS2.

Digitaliseringen har medfört att många av samhällets funktioner helt eller delvis förlitar sig på IT-lösningar. Detta har gjort att vårt samhälle blivit alltmer sårbart för cyberhot. Som ett svar på detta vill EU genom skärpta krav påskynda arbetet med att höja den gemensamma cybersäkerhetsnivån inom unionen. Det görs genom det nya direktivet NIS2.

Vad är NIS2-direktivet?

NIS står för "Network and Information Security Directive" och är ett europeiskt direktiv som syftar till att höja den gemensamma cybersäkerhetsnivån inom Europeiska unionen.  NIS2 är efterföljaren till det ursprungliga NIS-direktivet och är än mer omfattande. Bakgrunden till översynen av direktivet är att EU kommissionen har identifierat ett antal brister inom unionens gemensamma säkerhet:  

  • Otillräcklig motståndskraft mot cyberhot i verksamheter verksamma inom EU 
  • Stora skillnader mellan medlemsstater och sektorer 
  • Otillräcklig gemensam förståelse för de största hoten och utmaningarna bland medlemsstaterna 
  • Brist på gemensam krishantering  

De ökande cyberhoten utgör en allvarlig risk för vårt samhälle. De skador som dessa hot kan orsaka kan spridas genom sårbara leveranskedjor och kritisk infrastruktur och därmed ödelägga samhället, ekonomin och företagen. Därför finns det ett behov av att skydda på en ny och än mer enhetlig nivå. 

 

Vad är syftet med NIS2-direktivet? 

Syftet är att skapa motståndskraft i det digitaliserade samhällets funktioner genom skärpta och harmoniserade säkerhetskrav på de verksamheter som omfattas. 

NIS2 ska säkerställa; 

  • ett konsekvent urval av relevanta sektorer i hela EU 
  • konsekvens i säkerhetskraven 
  • enhetlig hantering av större cyberincidenter. 

 

Vad skiljer NIS2 från det ursprungliga NIS-direktivet? 

NIS2 adresserar brister som identifierats i det ursprungliga NIS-direktivet och är därmed mer omfattande. Bland annat innehåller NIS2 följande ändringar och tillägg: 

  • Fler sektorer omfattas 
  • Företagsledningen hålls personligt ansvariga för att säkra verksamheten 
  • Incidentrapportering måste nu göras inom 24 timmar i stället för tidigare 72 
  • Det ställs högre krav på säkerhet och rapportering 
  • Fokus på säkerhet för leverantörskedjor och leverantörer har ökat 
  • Sanktionssystemet har harmoniserats mellan medlemsstaterna 

 

När ska NIS2-direktivet implementeras? 

Direktivet ska vara implementerat i svensk lagstiftning senast den 18 oktober 2024, inför detta måste berörda verksamheter ha anpassat sina verksamheter. 

 

Vad innebär NIS2 för min verksamhet? 

  • Tillsyn, verkställighet och sanktioner 

I likhet med GDPR finns det möjlighet att ålägga verksamheter böter för bristande efterlevnad. En verksamhet kan potentiellt få böter på upp till 10 miljoner euro eller 2 % av verksamhetens årliga globala omsättning. 

  • Ledningens engagemang 

Större vikt läggs vid ledningens insikt i det förebyggande arbetet och hanteringen av cyberincidenter, både nationellt och inom en verksamhet. Detta innebär att medlemmar av en verksamhetsledning kan hållas direkt och personligen ansvariga för säkerhetsöverträdelser enligt NIS2-direktivet. NIS2 kräver att ledningen övervakar, godkänner och utbildas i hanteringen av informationssäkerhetsrisker samt de säkerhetsåtgärder som vidtas. Överträdelser kan leda till påföljder för ledningen, inklusive ansvar och en potentiell tillfällig avstängning från att verka i sin roll.  

  • Riskhantering och säkerhetsåtgärder 

Det finns strängare krav på att basera säkerhetsåtgärder på riskbedömningar. Genomförandet av riskanalyser är och kommer vara en viktig del i att hantera cyberrisker. 

  • Anmälningsskyldighet 

Det finns enhetliga krav på tidpunkten för och mottagaren av rapporteringen av en cyberincident. Incidenten ska rapporteras till tillsynsmyndigheten inom 24 timmar om den bedöms vara kritisk. En rapport som sammanfattar händelsen, inklusive hur den hanterades, måste tillhandahållas inom 72 timmar. Slutligen ska en slutrapport lämnas in inom en månad. 

 

Vilka branscher och företag omfattas av NIS2-direktivet? 

NIS2 har olika kriterier för att avgöra vem som omfattas av direktivet. Något förenklat kan vi sammanfatta kriterierna så här:

  • Storleken på entiteten
  • Entitetens påverkan på samhällsfunktioner

Detaljerade beskrivningar av tillämpningsområde hittar du i NIS2 Artikel 2.

Storlek

För att omfattas av storlekskravet ska det vara en offentlig eller privat entitet som är medelstor eller större enligt 2003/361/EG. Det innebär att man ska sysselsätta fler än 250 personer och ha en årsomsättning som överstiger 50 miljoner euro eller en balansomslutning som överstiger 43 miljoner euro per år.

Samhällsfunktioner

NIS2 anger ett antal sektorer och delsektorer som omfattas av direktivet, vissa omfattas också oavsett deras storlek. De sektorer som omfattas är de som har en samhällsviktig funktion på olika sätt inom sin respektive sektor.

Sektorer som omfattas är

  • Energi
    • Elektricitet
    • Fjärrvärme eller fjärrkyla
    • Olja
    • Gas
    • Vätgas
  • Transporter
    • Lufttransport
    • Järnvägstransport
    • Sjöfart
    • Vägtransport
  • Bankverksamhet
  • Finansmarknads-infrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning
    • Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik
    • Tillverkning av datorer, elektronikvaror och optik
    • Tillverkning av elapparatur
    • Tillverkning av övriga maskiner
    • Tillverkning av motorfordon, släpfordon och påhängsvagnar
    • Tillverkning av andra transportmedel
  • Digitala leverantörer
  • Forskning

Kan en verksamhet indirekt omfattas av NIS2? 

Ja. Detta gäller i de fall en verksamhet tillhandahåller kritiska tjänster eller levererar till betydande eller samhällsviktiga verksamheter. Med andra ord om du är underleverantör till en verksamhet som omfattas av NIS2. 

Vill du veta mer om vad NIS2 innebär för din verksamhet och hur du bäst förbereder dig? 

Taggar: Cyber Security