Hur påverkas man av NIS2?
Publicerad: 23 oktober 2024
NIS2-direktivet, vilket betyder Network and Information Security Directive, syftar till att stärka cybersäkerheten och motståndskraften mot cyberhot inom EU. Direktivet är en uppdatering av det tidigare NIS-direktivet och tar en rad nya steg för att öka kraven på företag och offentliga institutioner som hanterar kritisk infrastruktur eller viktiga tjänster.
Påverkan på företag
- Ökade kostnader: Företag kommer behöva investera mer i cybersäkerhet, inklusive teknik, utbildning och personal, för att uppfylla de nya kraven.
- Större fokus på riskhantering: Cybersäkerhet måste integreras i företagets övergripande riskhanteringsprocess, och företagen måste vara förberedda på både att upptäcka och hantera cyberattacker snabbt.
- Ökat tryck på leverantörer: Eftersom företag också ansvarar för sina leverantörers säkerhet, kan detta sätta press på hela leveranskedjan att implementera strikta säkerhetsåtgärder.
Vid första påsyn kan NIS2 uppfattas som en angelägenhet för ett visst segment av näringsliv och offentlig förvaltning, men den troligaste effekten är att hela samhället lyfter nivån inom cybersäkerhet. Det beror dels på att berörda organisationer och företag behöver ha koll på sina leverantörer, men också för att den allmänna "hygiennivån" lär höjas och acceptansen för säkerhetsbrister generellt blir svårare att motivera.
Utökad tillämpning
Jämfört med den ursprungliga NIS-lagstiftningen kommer tillämpningen att utökas och omfatta flera områden. Förutom energi, transport, finans och hälsosektorn omfattas nu även:
- Tillverkning av kritiska produkter (kemikalier, livsmedel)
- Posttjänster och avfallshantering
- Digitala tjänster (inklusive molntjänster, datacenter)
- Rymdsektorn
Vissa mindre företag som tidigare var undantagna kan också komma att inkluderas beroende på storlek och betydelse för samhällskritiska funktioner.
Specifika krav
Säkerhetskraven kommer generellt att bli hårdare, med konkreta krav inom riskhantering, säkerhetsövervakning, incidenthantering och att regelbundet genomföra sårbarhetsbedömningar.
Vidare finns det en ambition om mer samordning på samhällsnivå när det gäller rapportering av incidenter. Därför ställs krav på formerna för rapportering från företag, inklusive vad som har gjorts för att hantera incidenten. Kraven backas upp med risk för betydande böter för det företag eller den organisation som inte rapporterar i tid.
Bötesnivåerna kan likna de nivåer som tillämpas inom GDPR och steg tas också för att kunna gå på företagsledning och styrelseledamöter personligen. Sammanfattningsvis etableras sanktionsmöjligheter som syftar till att tvinga fram kraftiga och omedelbara insatser för att höja säkerhetsnivån hos alla berörda företag och organisationer.
Idén om samordning tas också vidare till annan typ av informationsdelning, så att nationella cybersäkerhetsmyndigheter ska bli bättre på att jobba tillsammans och koordineringen förfinas mellan såväl länder som samhällssektorer.
Sammanfattningsvis är NIS2 en naturlig fortsättning på NIS, med samma underliggande anda, men med avsevärda uppstramningar i tillämpningen. För den som inte sneglat på NIS sedan tidigare och börjat att arbeta med frågorna ligger ett digert arbete i korten för de närmaste åren.