I ett steg mot att bemöta den ständigt växande hotbilden inom cybersäkerhet har Europeiska unionen introducerat det reviderade Network and Information Security Directive (NIS2). Det nya direktivet, antogs i december 2022 och markerar en viktig utveckling i EU:s strävan att stärka säkerheten för samhällsviktiga nätverk och digitala tjänster.
NIS2 bygger vidare på grunden som lades av det ursprungliga NIS-direktivet 2018, och inför strängare krav på säkerhetstestning, riskhantering och incidentrapportering.
Vad är nytt i NIS2
NIS2 inför en mer omfattande och preciserad syn på cybersäkerhet, jämfört med det tidigare direktivet. Det första NIS-direktivet riktade sig till leverantörer av samhällsviktiga tjänster inom privat och offentlig sektor, såsom bankverksamhet, energi, sjukvård, transporter, digital infrastruktur och dricksvattenförsörjning. Däremot inkluderar NIS2 nu även sektorer som tidigare inte täcktes, såsom offentlig förvaltning, hantering av avloppsvatten och förvaltning av IKT-tjänster.
NIS2 introducerar striktare krav för att öka cybersäkerheten, inklusive minimikrav för åtgärder, särskilt kring riskhantering i leverantörskedjan. Varje medlemsland ska säkerställa att aktörer tar tekniska, operationella och organisatoriska åtgärder, såsom införande av rutiner, användning av zero trust-principer, medarbetarutbildning och regelbunden systemöversyn, för att stärka säkerheten.
Ytterligare en nyhet är kraven på mer detaljerad rapportering. De aktörer som omfattas av NIS2 förväntas nu rapportera om allvarliga säkerhetsincidenter på en mer detaljerad nivå än tidigare.
Här kan du läsa mer om direktivet
Vilka områden täcks av NIS2
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Tillverkning, produktion och distribution av kemikalier
- Post- och budtjänster
- Avfallshantering
- Offentlig förvaltning
- Tillverkning (medicinska produkter)
- Digitala leverantörer
- Forskning
- Rymden
- Avloppsvatten
- Produktion, bearbetning och distribution av livsmedel
Vad kan hända om organisationer inte uppfyller kraven?
Efter det att direktivet godkändes 2022 har nu organisationer fram till oktober 2024 på sig att införliva dess bestämmelsers i sin nationella lagstiftning. Konsekvenserna av att inte efterleva direktivet varierar mellan olika länder och eventuella sanktioner tillämpas enligt lagstiftningen i det medlemsland där organisationen verkar. I Sverige kan bristande efterlevnad av kraven leda till sanktioner på upp till 10 miljoner euro eller 2% av organisationens globala årsomsättning.