Informationssäkerhet har blivit en central del i dagens digitaliserade värld, särskilt för samhällsviktiga organisationer. I ljuset av detta har EU introducerat NIS2, som träder i kraft 2024, för att stärka skyddet av dessa kritiska tjänster. Men vad innebär NIS2 för din organisation, och varför är det relevant?
IoT (Internet of Things) och digitalisering har revolutionerat många branscher. Från fjärrövervakade tillverkningsprocesser till smarta städer som anpassar sig till medborgarnas behov i realtid. IoT och digitalisering möjliggör effektivare och mer anpassningsbara lösningar. Med dessa framsteg kommer dock också utmaningar, särskilt när det gäller säkerhet.
Med detta landskap av förändringar kommer det utmaningar. I skuggan av dessa risker har EU introducerat NIS2, ett direktiv designat för att stärka vårt cyberförsvar och hantera dessa hot. Det är här NIS2-förordningen kommer in.
Vad är NIS2?
NIS2, eller ”Network and Information Systems Directive 2”, är den senaste uppdateringen av det tidigare NIS-direktivet. Med ökad digitalisering och den växande hotbilden från cyberattacker, syftar NIS2 till att garantera en enhetligt hög nivå av informationssäkerhet inom EU. Direktivet omfattar en rad sektorer, däribland energisektorn, finansiella tjänster, sjukvård och även transport. Längst ned på sidan hittar du en litet längre förteckning över olika branscher och hur de påverkas.
Med början den 16 januari 2023 har EU:s medlemsländer 21 månader på sig att införliva NIS2 i sin nationella lagstiftning. Dessa nya regler kommer att börja gälla från den 18 oktober 2024, när det tidigare NIS-direktivet upphör.
Krav som ställs av NIS2
Direktivet ställer strikta krav på berörda organisationer. Bland dessa krav hittar vi:
- Striktare säkerhetskrav för leverantörer och säkerhetskrav genom hela leveranskedjan
- Ökade rapporteringskrav vid incidenter
- Förstärkta säkerhetsåtgärder mot cyberhot
- Nya krav för utförande av riskbedömningar
De organisationer som inte uppfyller dessa standarder kan möta betydande böter, även ledande individer kan hållas personligt ansvariga, om lagstiftningen inte följs.
NIS2 djupare mening
När vi tittar på NIS2-direktivet mer detaljerat, ser vi att det fokuserar på att stärka EU:s övergripande cyberförsvar. Det tar itu med de mest kritiska systemen och infrastrukturen som är avgörande för medlemsstaternas säkerhet och välfärd. Direktivet ämnar att säkerställa att viktiga sektorer är skyddade mot alla potentiella hot.
NIS2 betonar vikten av samarbete mellan länderna inom EU. Genom att dela information och resurser kan vi stå enade mot cyberhot. NIS2 betyder ökad ansvarsskyldighet. Inte bara i form av säkerhetsprotokoll, utan också i hur man rapporterar och kommunicerar potentiella hot och incidenter. Det kommer att krävas att organisationer är transparenta i hur de hanterar säkerhetsincidenter, och detta kan ha stor inverkan på förtroendet mellan företag och deras kunder.
Konsekvenser för organisationer
Detta direktiv markerar en ny era där digital säkerhet inte bara ses som en teknisk utmaning utan även som en strategisk prioritet för hela Europa. Det kommer att kräva att organisationer omvärderar hur de tänker på digital säkerhet, från ledningen ner till den enskilda anställde.
Men vad betyder detta konkret för organisationer? För det första kommer det att finnas striktare krav på rapportering. Organisationer kommer att behöva ha system på plats för att snabbt identifiera och rapportera säkerhetsincidenter. Detta innebär investeringar i teknik, men också i personalutbildning och förändringar i företagskultur.
Dessutom kommer det att finnas större förväntningar på att organisationer ska samarbeta med varandra som vi nämnde ovan. NIS2-direktivet uppmuntrar till större samarbete mellan sektorer och över gränserna. Detta kan innebära delning av information om hot, praxis och andra resurser.
Cyberresiliens
Vi har tidigare pratat om den så kallade Cyber Resilience Act, eller Cyber Resiliens Akten, CRA. Under de senaste åren har vi sett en ökning av storskaliga cyberangrepp som har orsakat avbrott i tjänster och skadat förtroendet för digitala system. NIS2-direktivet kräver att organisationer bygger robusta system som kan motstå och återhämta sig från dessa attacker. Detta kommer att kräva investeringar i både teknik och i att skapa interna rutiner som prioriterar säkerhet.
Varje organisation kommer att komma i kontakt med frågor relaterade till NIS2-direktivet. Det är avgörande att förstå de nya kraven, men också att se möjligheterna. Genom att investera i robusta säkerhetssystem, uppmuntra samarbete och prioritera resiliens kan du säkerställa att din organisation inte bara överlever, utan också blomstrar i denna nya digitala era.
I en tid då cyberattacker blir alltmer sofistikerade och skadliga, markerar NIS2 en ny era av förberedelse, resiliens och samarbete.
Uppdelningen i klasser
NIS2-förordningen skiljer mellan ”väsentliga entiteter” och ”viktiga entiteter” (se mer i tabellen nedan). Den primära distinktionen är att ”viktiga entiteter” får mindre finansiella sanktioner och är underlagda reaktiv regleringsövervakning från myndighetens sida, medan ”väsentliga entiteter” är under proaktiv övervakning av myndigheterna.
| Reglerade sektorer | |
|---|---|
| Sektor/Industri | Klassificering |
| Avfallshantering | Viktiga entiteter |
| Bank/finans – kredit, handel, marknad och infrastruktur | Väsentliga entiteter |
| Digital infrastruktur och IT-tjänster | Väsentliga entiteter |
| Digitala leverantörer – marknadsplatser, sökmotorer, sociala plattformar | Viktiga entiteter |
| Energi – leverans, distribution, överföring och försäljning | Väsentliga entiteter |
| Forskningsorganisationer | Viktiga entiteter |
| Hälsa – vårdgivare, forskningslabb, läkemedel, medicinteknisk tillverkning | Väsentliga entiteter |
| Kemikalier – produktion och distribution | Viktiga entiteter |
| Luftfart, järnväg, väg och sjötransport | Väsentliga entiteter |
| Mat – distribution och produktion | Viktiga entiteter |
| Offentlig administration på central och regional nivå | Väsentliga entiteter |
| Post- och frakttjänstleverantörer | Viktiga entiteter |
| Rymd – markbaserade infrastrukturoperatörer | Väsentliga entiteter |
| Tillverkare: medicinsk/diagnostisk utrustning, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, annan transportutrustning | Viktiga entiteter |
| Vatten – dricksvattenleverantörer och avloppsvattenoperatörer | Väsentliga entiteter |