EU:s NIS2-direktiv innebär ett stort steg framåt för att stärka cybersäkerheten i både offentliga och privata verksamheter. Direktivet ersätter det tidigare NIS-direktivet och inför skärpta krav på hur organisationer ska skydda sina nätverk, system och data mot cyberattacker och driftstörningar.
Målet är tydligt: att skapa en hög och enhetlig nivå av digital säkerhet inom hela EU.
Vad är NIS2?
NIS2 står för Network and Information Security Directive 2. Det är ett EU-direktiv som syftar till att öka motståndskraften mot cyberhot, minska risken för driftstopp och stärka tilliten till digitala tjänster.
Direktivet omfattar fler sektorer än tidigare och ställer större krav på ledning, rapportering och säkerhetsåtgärder.
Alla medlemsländer ska införa NIS2 krav i sin nationella lagstiftning senast i oktober 2024, vilket innebär att många företag och myndigheter nu måste se över sitt säkerhetsarbete för att leva upp till kraven.
Vilka omfattas av NIS2?
Till skillnad från det tidigare direktivet gäller NIS2 inte bara samhällskritiska aktörer som energi- och vattenleverantörer. Nu omfattas även fler branscher, som transport, livsmedelsproduktion, finans, avfallshantering, offentlig förvaltning, sjukvård och digitala tjänster, exempelvis molntjänster och datacenter.
Direktivet skiljer på två typer av organisationer:
-
Väsentliga enheter, som bedriver samhällsviktig verksamhet.
-
Viktiga enheter, som har stor betydelse för ekonomi och säkerhet, men inte är lika samhällskritiska.
Gemensamt för båda är att de måste kunna visa att de aktivt arbetar med cybersäkerhet och riskhantering.
De viktigaste NIS2-kraven
1. Systematiskt riskarbete
Organisationen måste identifiera och hantera risker kopplade till IT-system och nätverk. Det innebär att löpande bedöma hot, analysera sårbarheter och prioritera skyddsåtgärder.
2. Incidenthantering
Det krävs tydliga rutiner för hur cyberincidenter ska upptäckas, hanteras och rapporteras. En allvarlig incident ska anmälas till berörd myndighet inom 24 timmar.
3. Säkerhet i leverantörskedjan
NIS2 betonar att säkerheten inte slutar vid den egna organisationen. Även leverantörer och externa partners ska bedömas utifrån cybersäkerhetsrisker.
4. Kontinuitetsplanering
Företag måste ha beredskaps- och återställningsplaner för att snabbt kunna återgå till normal drift efter en cyberattack eller annan störning.
5. Tekniska och organisatoriska skydd
Skyddsåtgärder som åtkomstkontroll, kryptering, multifaktorautentisering och systemuppdateringar är centrala delar av NIS2-kraven. Men även styrning, dokumentation och utbildning väger tungt.
6. Ledningens ansvar
En nyhet i NIS2 är att styrelse och företagsledning bär det yttersta ansvaret för att reglerna följs. De måste ha kunskap om cybersäkerhet och se till att resurser avsätts för att uppfylla kraven.
Sanktioner och konsekvenser
Om en organisation inte lever upp till NIS2 kan det få kännbara konsekvenser. Beroende på typ av enhet kan böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen utdömas.
Dessutom riskerar företag att tappa förtroende hos kunder, leverantörer och samarbetspartners.
Så förbereder du din verksamhet
För att möta kraven i tid bör organisationer redan nu:
-
Kartlägga sina IT-system och informationsflöden.
-
Genomföra en riskanalys och identifiera svaga punkter.
-
Upprätta en säkerhetspolicy och en plan för incidenthantering.
-
Säkerställa att personalen utbildas i cybersäkerhet.
-
Dokumentera allt säkerhetsarbete och följa upp det regelbundet.
Även om NIS2 kan uppfattas som en utmaning, är det i grunden en chans att stärka organisationens motståndskraft och minska risken för kostsamma avbrott.
