Advania logo
    Kontakta oss
    Gå tillbaka

    NIS2-direktivet

    Vad är NIS2-direktivet?

    NIS2 är ett omfattande cybersäkerhetsdirektiv från EU som ersätter och skärper kraven från det ursprungliga NIS-direktivet (2016). Syftet är att skapa en högre och mer enhetlig nivå av cybersäkerhet för kritiska tjänster och sektorer inom hela unionen. Direktivet tvingar fler organisationer att vidta konkreta åtgärder för att hantera risker, skydda sina nätverk och informationssystem samt rapportera allvarliga incidenter till myndigheter.

    Varför infördes NIS2?

    Det digitala landskapet har förändrats dramatiskt sedan det första NIS-direktivet infördes. Cyberattacker har blivit fler, mer avancerade och har fått större samhällspåverkan. NIS2 infördes för att:

    • Harmonisera säkerhetsnivån: Säkerhetskraven och tillsynen varierade för mycket mellan EU:s medlemsländer.
    • Utöka omfattningen: Många digitaliserade och samhällsviktiga sektorer omfattades inte av det första direktivet.
    • Stärka säkerheten i leverantörskedjan: Adressera den växande risken med attacker som sker via underleverantörer.
    • Skapa tydligare ansvar: Flytta ansvaret för cybersäkerhet från IT-avdelningen till företagsledningen.

    Vilka omfattas av NIS2?

    NIS2 utökar antalet sektorer och företag som berörs och delar in dem i två huvudkategorier baserat på deras betydelse för samhället. Företag som klassas som medelstora eller stora inom dessa sektorer omfattas generellt:

    1. Väsentliga entiteter (Essential Entities): Sektorer som är direkt avgörande för samhällets funktion. Exempel inkluderar energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning.
    2. Viktiga entiteter (Important Entities): Andra sektorer som är viktiga för ekonomin och samhället men där en störning inte skulle få lika omedelbara och allvarliga konsekvenser. Exempel inkluderar post- och kurirtjänster, avfallshantering, tillverkning av vissa kritiska produkter och digitala leverantörer som onlinemarknadsplatser och sökmotorer.

    Vilka är de viktigaste kraven i NIS2?

    Direktivet ställer en rad bindande krav på de organisationer som omfattas. De mest centrala är:

    • Riskhanteringsåtgärder: Företag måste implementera en rad tekniska och organisatoriska åtgärder för att skydda sina nätverk. Detta inkluderar bland annat policyer för riskanalys, planer för incidenthantering, skydd för leverantörskedjan, grundläggande cyberhygien, användning av kryptering och multifaktorautentisering (MFA).
    • Ledningens ansvar: Företagets ledning är nu juridiskt ansvarig för att godkänna och övervaka säkerhetsåtgärderna. De kan hållas personligt ansvariga om kraven inte efterlevs.
    • Rapporteringsskyldighet: Betydande incidenter måste rapporteras till relevanta myndigheter i flera steg: en första varning inom 24 timmar och en mer detaljerad rapport inom 72 timmar.
    • Tillsyn och sanktioner: Nationella myndigheter kommer att utöva tillsyn och har befogenhet att utfärda kännbara sanktioner vid bristande efterlevnad. För väsentliga entiteter kan det handla om böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen.

    NIS2: En strategisk nödvändighet för motståndskraft

    Att anpassa sig till NIS2 handlar om mer än att bara uppfylla lagkrav; det är en strategisk investering i organisationens motståndskraft (resiliens). Genom att implementera de åtgärder som krävs bygger företag en robust grund för att inte bara skydda sig mot hot, utan också för att kunna upprätthålla sin verksamhet och sitt förtroende på en alltmer digitaliserad marknad.

    Checklista för att förbereda er för NIS2

    Att förbereda sig för NIS2 kan kännas överväldigande. Använd denna checklista som en startpunkt för att genomföra en första gapanalys och identifiera var ni behöver fokusera era ansträngningar.

    1. Identifiera er roll: Omfattas ni av direktivet?

    • Sektor: Har ni formellt fastställt om er verksamhet tillhör en "väsentlig" eller "viktig" sektor enligt NIS2-direktivets bilagor?
    • Storlek: Uppfyller ni kraven för ett medelstort eller stort företag (baserat på anställda och omsättning)?
    • Undantag: Har ni undersökt om ni, trots er storlek, kan anses ha en kritisk roll som gör att ni ändå omfattas?

    2. Förankra ansvaret: Är ledningen involverad?

    • Medvetenhet: Är er ledningsgrupp och styrelse medvetna om sitt juridiska och personliga ansvar enligt NIS2?
    • Godkännande: Har ledningen formellt granskat och godkänt organisationens riskhanteringsåtgärder för cybersäkerhet?
    • Utbildning: Har ledningen själva genomgått utbildning för att förstå hot, risker och sina skyldigheter enligt direktivet?

    3. Bedöm er nuvarande säkerhetsnivå: Har ni rätt skydd på plats?

    • Riskanalys: Har ni en dokumenterad policy och en återkommande process för att analysera cybersäkerhetsrisker?
    • Incidenthantering: Finns det en etablerad och testad plan för hur ni hanterar en säkerhetsincident?
    • Kontinuitet: Har ni planer för verksamhetens kontinuitet och krishantering, inklusive backup-hantering och återställning efter en incident?
    • Säkerhet i leverantörskedjan: Har ni en process för att identifiera och hantera säkerhetsrisker hos era viktigaste leverantörer och tjänstepartners?
    • Grundläggande cyberhygien: Tillämpar ni grundläggande säkerhetsrutiner som regelbunden patchning, säkra konfigurationer och sårbarhetshantering?
    • Åtkomstkontroll och autentisering: Använder ni multifaktorautentisering (MFA) och policyer för åtkomstkontroll (t.ex. Zero Trust-principer)?
    • Kryptering: Använder ni ändamålsenlig kryptering för att skydda data, både när den lagras och när den skickas?

    4. Planera för det oundvikliga: Kan ni rapportera incidenter korrekt?

    • Definition: Har ni en tydlig process för att avgöra vad som utgör en "betydande incident" som måste rapporteras?
    • Process: Vet ni vem som är ansvarig för att rapportera, till vilken myndighet, och hur det ska gå till?
    • Tidsramar: Har ni tekniska och organisatoriska förutsättningar för att kunna lämna en första rapport inom 24 timmar efter att ni fått kännedom om en incident?

    Vanliga frågor och svar om NIS2

    Vad är den största skillnaden mellan NIS1 och NIS2?

    De tre största skillnaderna är: 1) Omfattningen är mycket bredare och fler sektorer inkluderas, 2) Kraven på säkerhetsåtgärder och incidentrapportering är betydligt strängare, och 3) Ansvaret placeras direkt på ledningen med risk för personligt ansvar och högre sanktionsavgifter.

    Hur vet jag om min organisation omfattas av NIS2?

    Du behöver först kontrollera om din bransch tillhör någon av de "väsentliga" eller "viktiga" sektorerna som listas i direktivet. Därefter behöver du säkerställa om din organisation uppfyller storlekskriterierna (generellt medelstora och stora företag). Vissa mindre aktörer med en kritisk roll kan också omfattas.

    När måste vi uppfylla kraven i NIS2?

    EU:s medlemsländer, inklusive Sverige, har fram till den 17 oktober 2024 på sig att införliva direktivet i sin nationella lagstiftning. Därefter måste de berörda organisationerna följa de nya reglerna. Det är därför hög tid att börja förberedelserna nu.

    Vad är det första steget vi bör ta för att förbereda oss?

    Det första och viktigaste steget är att genomföra en grundlig riskanalys och en gapanalys. Identifiera vilka delar av er verksamhet som berörs, utvärdera er nuvarande säkerhetsnivå mot kraven i NIS2, och skapa en konkret handlingsplan för att stänga eventuella gap.

    Viktiga punkter att ta med sig:

    • NIS2 är en skärpning av EU:s cybersäkerhetsregler som omfattar betydligt fler sektorer och företag än tidigare.
    • Direktivet ställer bindande krav på proaktiv riskhantering, inklusive säkerhet i leverantörskedjan, kryptering och incidenthantering.
    • Ledningen har ett direkt och personligt juridiskt ansvar för att se till att organisationen efterlever kraven.
    • Strikta tidsfrister gäller för incidentrapportering, där en första varning ska skickas till myndigheter inom 24 timmar.
    • Bristande efterlevnad kan leda till mycket kännbara sanktioner, inklusive böter på upp till 2% av den globala årsomsättningen.
    Titta på filmen

    Vad är NIS2 och varför är det viktigt?

    Vi reder ut NIS2

    Andra relevanta ord i samma kategori