NIS2-direktivet
De senaste åren har antalet cyberattacker ökat kraftigt. Genom att höja säkerheten inom kritisk infrastruktur, höjs hela samhällets robusthet mot yttre störningar. NIS2 är en uppdatering av det tidigare NIS-direktivet och syftar till att stärka skyddet för samhällsviktiga tjänster genom att säkerställa en hög nivå av informationssäkerhet i hela EU.
Behöver ni följa NIS2-direktivet?
Även om ni omfattas av det nya direktivet eller inte, kan ni som organisation behöva anpassa er till NIS2. Vi hjälper er att säkerställa hur ni påverkas, samt identifierar risker knutna till NIS2-direktivet genom en gedigen GAP och riskanalys.
Vad innebär NIS2-direktivet?
NIS (Network and Information Systems Directive) är ett direktiv som syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem, inom den Europeiska unionen. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster, i både privat och offentlig sektor.
NIS2 är en uppdatering av NIS-direktivet, som syftar till att fylla luckorna i det ursprungliga direktivet genom att lägga till nya kritiska tjänstesektorer, stärka säkerhetskraven, reglera säkerheten i leveranskedjan samt öka rapporteringsskyldigheten och efterlevnaden. De 3 huvudmålen med direktivet är:
- Att öka motståndskraften mot cyberattacker hos leverantörer av samhällsviktiga tjänster.
- Att effektivisera motståndskraften mot cyberattacker genom strängare säkerhetskrav och påföljder.
- Att förbättra EU:s beredskap för att hantera cyberattacker.
Tillämningskrav för NIS2-direktivet
NIS2-direktivet medför betydande förändringar inom riskhantering och cybersäkerhet, samt skärpta tillämpningskrav. Nedan är några exempel:
- Strängare krav på leverantörer och säkerhet i hela leveranskedjan för att säkerställa pålitliga och skyddade system.
- Utökade krav på rapportering av incidenter för att snabbt kunna agera och åtgärda eventuella intrång eller hot.
- Förstärkta säkerhetsåtgärder för att effektivt skydda mot cyberhot och förebygga potentiella attacker.
- Nya krav på utförande av riskbedömningar för att identifiera och hantera sårbarheter i systemen.
Regelefterlevnad och påföljder
Ett tydligt utökat ledningsansvar och hårda sanktioner kommer att tillämpas mot företag och organisationer som inte fullt ut tillämpar efterlevnadskraven inom NIS2. Bland annat riskerar man omfattande ekonomiska påföljder baserade på företagens globala omsättning. Styrande organ kan även hållas personligt ansvariga om inte lagstiftningen efterlevs.
Vilka omfattas av NIS2-direktivet?
NIS2 omfattar alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata. Dessa måste även se till att deras leverantörer är säkra. I NIS2-direktivet definieras 11 stycken väsentliga sektorer samt 7 övriga kritiska sektorer. Läs mer om dessa nedan.
11 samhällsviktiga sektorer som omfattas av NIS2-direktivet:
Energi
Sektorn omfattar tjänster inom el, flytande drivmedel och bränslen samt gas.
Transport
Sektorn omfattar tjänster inom luft, järnväg, sjöfart och väg.
Finansmarknad
Sektorn omfattar infrastrukturer för finansmarknaden, operatörer av handelsplatser samt centrala motparter.
Bank
Sektorn omfattar bankverksamhet samt kreditinstitut.
Hälso- och sjukvård
Sektorn omfattar alla organisationer inom hälso- och sjukvården.
Offentlig förvaltning
Sektorn omfattar enheter för offentlig förvaltning i centrala regeringar samt offentlig förvaltning på regional nivå.
Digital infrastruktur
Sektorn omfattar ex. leverantörer av nätverk, molntjänster, datacentertjänster, med flera.
Förvaltning IKT
Sektorn omfattar företag som hanterar IKT-tjänster, leverantörer av hanterade tjänster samt leverantörer av säkerhetstjänster
Rymd
Sektorn omfattar operatörer av markbaserad infrastruktur (vilka ägs, förvaltas och drivs av stater eller av privata parter) och som stöder tillhandahållandet av rymdbaserade tjänster.
Avloppsvatten
Sektorn omfattar företag som samlar in, omhändertar eller behandlar avloppsvatten från tätbebyggelse, hushållsavlopp eller industriellt avlopp som utgör en väsentlig del av den allmänna verksamheten
Dricksvatten
Sektorn omfattar leverans och distribution av dricksvatten.
7 övriga kristiska sektorer som omfattas av NIS2-direktivet:
Avfallshantering
Sektorn omfattar företag som bedriver avfallshantering, med undantag för företag för vilka avfallshantering inte är deras huvudsakliga ekonomiska verksamhet
Kemikalier
Sektorn omfattar företag som bedriver tillverkning, produktion och distribution av kemikalier, ämnen eller blandningar samt företag som bedriver tillverkning av artiklar av ämnen eller blandningar.
Digitala leverantörer
Sektorn omfattar tillhandahållare av onlinemarknadsplatser, sökmotorer samt plattformar för sociala nätverkstjänster.
Elektroniktillverkning
Sektorn omfattar företag som bedriver tillverkning av medicintekniska produkter, datorer, elektroniska och optiska produkter, elektrisk utrustning, maskiner, motorfordon, släpfordon, påhängsvagnar samt andra samt transportmedel.
Forskning
Sektorn omfattar forskningsorganisationer som bedriver tillämpad forskning eller experimentell utveckling med syfte att använda forskningsresultaten för kommersiella ändamål, med undantag för utbildningsinstitutioner.
Livsmedel
Sektorn omfattar livsmedelsföretag som ägnar sig åt grossistförsäljning samt industriell produktion och bearbetning.
Post- och budtjänst
Sektorn omfattar tillhandahållare av posttjänster, inklusive tillhandahållare av kurirtjänster.
Förbered din verksamhet inför NIS2-direktivet
Även om ni omfattas av det nya direktivet eller inte, kan ni som organisation behöva anpassa er till NIS2. Så var börjar man? Vi anser att en bra början är att genomföra en GAP-analys för att bedöma er verksamhets nuläge.
Vi hjälper er att sammanfatta ert nuläge och säkerställa hur ni påverkas, samt identifierar risker knutna till NIS2-direktivet genom en gedigen GAP och riskanalys.
- Bli compliant med NIS2-direktivet
- Få ökad kvalitet i ert arbete inom informationssäkerhet
- Öka den interna kontrollen och stärka kontrollen över leverantörsrisker, för att minska risken för cyberattacker samt vidhålla beredskap och förmåga att hantera incidenter
Avrop via Adda Inköpscentral AB
twoday har ramavtal med Adda Inköpscentral AB, avseende IT-konsulttjänster i Stockholms län, Uppsala län och Gotlands län. Samtliga kommuner, regioner, gemensamma nämnder och bolag (över 170 avropsberättigade parter) kan avropa från ramavtalet.
Läs mer om ramavtalet IT-konsulttjänster 2021 eller kontakta oss med era behov, om ni vill avropa konsultstöd inom detta område.
