Vad innebär det nya NIS2-direktivet för dig?
2016 fastställdes NIS-direktivet. NIS står för "Network and Information Security". NIS-direktivet utformades med syftet att stärka säkerheten för kritisk infrastruktur som banker, energiföretag och teleföretag.
Den 16 januari 2023 trädde det reviderade direktivet (NIS2) i kraft. Med denna översyn kommer fler sektorer att omfattas av direktivet och måste därför uppfylla fler säkerhetskrav. Dessutom kommer övervakningen av efterlevnaden och sanktionerna också att harmoniseras i hela EU.
Med större räckvidd och strängare krav kommer NIS2 att bättre skydda EU från cyberattacker och andra digitala säkerhetshot.
EU:s medlemsländer har 21 månader på sig från ikraftträdandet av NIS2-direktivet att införliva det i sin nationella lagstiftning och upprätta den nödvändiga infrastrukturen för att upprätthålla det. Från september 2024 kommer NIS2-lagstiftningen att träda i kraft och organisationer måste följa den. Det är därför viktigt för organisationer som omfattas av NIS2-direktivet att nu förbereda de förändringar som direktivet kommer att medföra.
Nedan beskriver vi vilka organisationer som omfattas av NIS2-direktivet och vad dessa organisationer behöver göra för att följa direktivet.
Vilka organisationer omfattas av NIS2-direktivet?
NIS2-direktivet gäller för mycket kritiska och kritiska sektorer inom EU. Detta inkluderar företag inom finans-, energi- och transportsektorerna, digitala tjänsteleverantörer som cloud computing, onlinemarknadsplatser, online sökmotorer och sociala nätverk.
Av de organisationer som omfattas av NIS2-direktivet skiljer man på väsentliga och viktiga organisationer. Denna skillnad leder till en annan utarbetning av NIS2. Skillnaden förklaras nedan.
Väsentliga organisationer
Endast stora organisationer 1) som faller under mycket kritiska sektorer anses vara "nödvändiga". Dessutom anses vissa organisationer automatiskt vara "nödvändiga", oavsett storlek, om ett haveri i deras tjänster skulle få allvarliga konsekvenser för samhället eller om de är den enda leverantören på marknaden.
Detta inkluderar organisationer som tillhandahåller offentliga kommunikationsnätverk och tjänster, leverantörer av förtroendetjänster och leverantörer av toppdomännamn och registreringstjänster för domännamn.
Viktiga organisationer
Förutom väsentliga organisationer hänvisar NIS2-direktivet även till viktiga organisationer. Medelstora organisationer 2) som verkar inom mycket kritiska sektorer anses viktiga, tillsammans med stora och medelstora organisationer inom kritiska sektorer.
De flesta organisationer som omfattas av NIS2-direktivet hamnar i den viktiga kategorin. I viktiga organisationer sker övervakning i efterhand, när anmälningar har gjorts och en incident inträffat. Skulle det efter en incident visa sig att organisationen inte vidtagit de åtgärder som krävs vad gäller säkerhetskraven kommer dessa organisationer också att dömas till böter för bristande efterlevnad.
1) Stora organisationer: mer än 250 anställda och en årlig omsättning på minst 50 miljoner euro.
2) medelstora organisationer: färre än 250 anställda och en årlig omsättning på upp till 50 miljoner euro.
NIS2 - Essential and important entities by sector
Vilka är konsekvenserna av NIS2-direktivet?
Organisationer som omfattas av NIS2-direktivet måste följa strikta säkerhetskrav och rapportera incidenter till den nationella behöriga myndigheten inom 24 timmar efter upptäckt. Dessutom måste organisationer agera snabbt för att hantera situationen och mildra effekterna vid en cyberattack eller annan säkerhetsincident. Underlåtenhet att följa kan leda till böter och eventuell avstängning på styrelsenivå.
Vad bör organisationer göra för att följa NIS2-direktivet?
Organisationer som omfattas av NIS2-direktivet måste vidta nödvändiga åtgärder för att förbättra sin digitala säkerhet och rapportera incidenter till nationella myndigheter.
Åtgärderna nedan representerar de minimikrav som ska uppfyllas:
- Riskanalys och säkerhetspolicyer för informationssystem;
- En incidenthanteringsprocess;
- Affärskontinuitet, såsom backuphantering och beredskapsplaner och krishantering;
- Säkerhet i försörjningskedjan, inklusive säkerhetsrelaterade aspekter relaterade till relationerna mellan varje enhet och dess direkta leverantörer eller tjänsteleverantörer;
- Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive sårbarhetsrespons och -avslöjande;
- Policyer och förfaranden för att bedöma effektiviteten av riskhanteringsåtgärder för cybersäkerhet;
- Grundläggande cyberhygienpraxis och cybersäkerhetsutbildning (se NCSC:s grundläggande åtgärder i infografiken nedan);
- Policyer och förfaranden för användning av kryptografi och, där så är lämpligt, kryptering;
- Säkerhetsaspekter gällande personal, tillträdespolicy och kapitalförvaltning.
DataExpert
Om du har några frågor kring NIS2 och aktuell status för ovanstående åtgärder inom din organisation, vänligen kontakta oss. Vi hjälper dig gärna att kartlägga det aktuella genomförandet och fastställa det erforderliga genomförandet av dessa åtgärder.