Ersättare av NIS-direktivet
Under några år har EU:s medlemsstater levt med NIS-direktivet, som togs fram för ”åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen”. Detta gäller främst nätverk och informationssystem. Nu är det dags med en uppdatering: i slutet av 2022 klubbade EU ett nytt direktiv, för att ersätta NIS(1).
Vad är de stora förändringarna i NIS2?
- Fler sektorer av organisationer kommer att beröras
- Det kommer införas minimikrav för åtgärder
- Mer precisa rapporteringskrav kommer att implementeras
NIS2 innefattar även andra förändringar, som förslag på sakkunnigbedömningar (så kallade peer reviews) som är frivilliga, men vi håller oss till de stora dragen i direktivet i den här artikeln.
Vilka verksamheter omfattas av NIS2?
NIS-direktivet kom till för att höja unionens nivå av säkerhet inom nätverk och informationssystem för samhällsviktiga tjänster. I NIS-direktivet omfattades följande sektorer, och dessa är oförändrade även i NIS2:
Väsentliga entiteter:- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Digital infrastruktur
Från det första direktivet har det dock identifierats att ännu fler sektorer behöver inkluderas och därför har man utvidgat det till att även omfatta:
Andra viktiga entiteter:- Avloppsvatten
- Förvaltning av IKT-tjänster
- Offentlig förvaltning
- Rymden
- Post och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
Källa: Regeringens sammanfattning av NIS2-direktivet
Som ni ser är det en gedigen lista, och vilka verksamheter som faktiskt ingår i varje sektor är inte helt tydligt. Dessutom kan man tänka att organisationer som omfattas av NIS2 kan ställa krav likt NIS2 på sina leverantörer i sin tur, och därmed är NIS2 ett direktiv de flesta av oss bör ha koll på.
Organisationer delas också in i väsentliga och viktiga entiteter, baserat på deras betydelse för sektorn de tillhör, samt deras storlek. Precis som i NIS ska organisationer registrera sig och finnas med i en förteckning, men exakt hos vilken myndighet per sektor är alltså inte klart än.
Vilka krav ställs i NIS2?
Med NIS2 stärks kraven kring riskhanteringsåtgärder och rapportering på väsentliga och viktiga entiteter. Enligt direktivet ska varje medlemsstat säkerställa ”att entiteterna vidtar tekniska, operationella och organisatoriska åtgärder för att hantera risker för säkerheten i nätverk och informationssystem.” Det räcker därför inte att bara implementera ett system och tro att man efterlever NIS2-kraven. En komplett översyn av verksamheten är vad vi behöver göra.
Konkreta exempel och förklaringar
Vi har hämtat några exempel direkt från NIS2 som vi går igenom och förklarar hur du ska tänka kring. Du kan självklart också läsa direktivet i sin helhet.
Hantera risker från leverantörskedjan
”Det är särskilt viktigt att hantera risker som härrör från en entitets leveranskedja och dess förhållande till sina leverantörer […]” och vi kan därmed se att NIS2 direktivet kommer ge ringar på vattnet. Om du till exempel driver en leveransfirma, omfattas du av NIS2-direktivet — och om du i den leveransfirman är beroende av elbilsladdning för att du erbjuder 100% el-transporter, behöver du säkerställa även din leverantörs riskhantering.
Förankra kunskap om cyberhygien i verksamheten
”Väsentliga och viktiga entiteter bör anta ett brett spektrum av grundläggande cyberhygienrutiner, såsom nollförtroende-principer, programuppdateringar, enhetskonfiguration, nätverkssegmentering, identitets- och åtkomsthantering eller användarmedvetenhet, anordna utbildning för sin personal och öka medvetenheten om cyberhot, nätfiske eller sociala manipuleringstekniker.”
NIS2 kräver med andra ord att vi både tittar på rutiner, zero trust, samt system som hjälper oss med efterlevnad, medarbetarutbildning och kommunikation. Och allt detta ska vi även kunna påvisa för berörda myndigheter när de väl kommer och knackar på. Vid en eventuell incident kräver NIS2 att organisationen ska rapportera den inom 24 timmar från första upptäckt, och att en efterföljande mer utförlig rapport ska lämnas in senast 72 timmar efter upptäckt. Därefter ska en fullständig slutrapport lämnas in efter en månad.
Vad händer nu?
Från och med att EU klubbade igenom det nya direktivet har Sverige som EU-land jobbat på en utredning för hur det ska implementeras här. Den 23e februari 2023 kom ett kommittédirektiv ut från Regeringen, som beställde en utredning på många punkter. Utredningen omfattar vilka möjliga lagändringar vi kan behöva göra, vilka myndigheter som behöver vara involverade för kontroll av efterlevnad, om kommuner ska omfattas och så vidare. Utredningen ska presenteras senast 23e februari 2024 och NIS2-direktivet börjar gälla i hela EU från och med den 17e oktober 2024.
För den kvicktänkte är det tydligt att tidslinjen inte ger oss mycket tid att spela på mellan presentationen av utredningen och tidpunkten vi alla ska börja leva under och efterleva NIS2. Den smarta verksamheten väntar inte på utredningen utan börjar redan nu titta på sin egen verksamhet och ta de första stegen mot att uppfylla kraven i NIS2 för att vara beredd på tillsyn från berörda myndigheter.
Precis som med GDPR finns det också här risker med att inte efterleva förordningen: för en organisation som inte anses uppfylla NIS2 eller som inte rapporterar en incident inom rätt tid, kan det bli böter upp mot €10 miljoner eller 2% av den global omsättningen. Du ser att det är värt att börja förbereda din verksamhet på dessa nya krav och skapa processer i god tid innan NIS2 börjar träda i kraft. Vill du ha hjälp med analys av nuläge och hur vägen framåt ser ut, hör av dig till oss på Advania så samarbetar vi!
