Sedan det nuvarande NIS-direktivet infördes 2016 har det hänt mycket kring säkerhetsläget. Efter pandemin har utrullningen av flertal digitala tjänster i samhället fullkomligt exploderat, vilket i sin tur, skapat ett ökat beroende av den digitala infrastrukturen. Även den senaste vågen av cyberattacker mot flera stora organisationer, har ökat betydelsen av cybersäkerhet i samhället. Cybersäkerhet är inte längre bara en förebyggande åtgärd, utan en nödvändig investering för att skydda känslig information och se till att verksamheten fortsätter som vanligt.
En stor mängd verksamheter omfattas av NIS2
Den nya cybersäkerhetslagen NIS2, som ska börja tillämpas från den 18 oktober 2024, medför ett antal viktiga förändringar på informationssäkerhets- och cybersäkerhetsområdet. Det nuvarande NIS-direktivet berör omkring 500 svenska organisationer, men nu utökas direktivet med åtta nya sektorer, som delas upp i väsentliga och viktiga verksamhetsutövare. Det är ännu inte helt klart hur många organisationer i Sverige som kommer omfattas av NIS2, men nästan hela den offentliga sektorn kommer att omfattas, dvs. myndigheter, regioner och kommuner. EU-direktivet kommer även att indirekt omfatta underleverantörer till verksamheter som omfattas av NIS2-direktivet. Det avser också verksamheter som ligger utanför EU, men som levererar tjänster till ett EU-land.
Vilka krav ställer NIS2-direktivet på verksamheterna?
I och med det nya direktivet kommer det ställas nya och utökade krav på säkerhetsåtgärder och incidentrapportering, och uppmuntrar även till rapportering av ”nästan-incidenter”. Även säkerheten i leverantörskedjorna kommer att granskas. Reglerna är i stora delar desamma för båda typerna av verksamhet, men sanktioner och tillsyn ser annorlunda ut beroende på klassificering.
Viktiga skyldigheter enligt NIS2-direktivet
- Verksamheter måste genomföra riskbedömningar och vidta åtgärder för att hantera och säkra sina nätverk och informationssystem.
- Efter att ha identifierat brister bör organisationerna genomföra lämpliga utbildningsprogram och processjusteringar för att åtgärda bristerna.
- NIS2 kräver att ledningen övervakar, godkänner och utbildas i hanteringen av informationssäkerhetsrisker samt de säkerhetsåtgärder som vidtas.
- Organisationer är skyldiga att rapportera betydande incidenter till behörig tillsynsmyndighet inom 24 timmar, i stället för som tidigare 72 timmar.
- Införandet av sanktioner kommer ske med förslag på 2% av verksamhetens globala årsomsättning, eller högst 10 miljoner EUR.
4 tips för att bli NIS2-kompatibel
- Genomför en GAP-analys
Utvärdera befintliga cybersäkerhetsåtgärder och säkerställ efterlevnad av NIS2-direktivet med en grundlig GAP-analys. - Definiera åtgärder
Skapa en prioriterad handlingsplan för förbättrad efterlevnad med mätbara värden, som inkluderar riskhantering, beredskapsplaner och rapportering. - Utbilda internt
Öka förståelsen för cybersäkerhet internt genom utbildning av medarbetare. - Investera i digital transformation
Genom att exempelvis investera i molnbaserade lösningar och använda multifaktorautentisering, kan ni enklare upptäcka och hantera cyberhot.
Behöver ni hjälp att förbereda er verksamhet inför NIS2-direktivet?
Vi på twoday kan hjälpa er att sammanfatta ert nuläge och säkerställa hur ni påverkas, samt identifiera risker knutna till NIS2-direktivet genom en gedigen GAP och riskanalys.
- Bli compliant med NIS2-direktivet
- Få ökad kvalitet i ert arbete inom informationssäkerhet
- Öka den interna kontrollen och stärka kontrollen över leverantörsrisker, för att minska risken för cyberattacker samt vidhålla beredskap och förmåga att hantera incidenter