NIS2 på två minuter

EU:s NIS2-direktiv trädde i kraft i januari 2023, och medlemsländerna hade fram till den 17 oktober 2024 på sig att omsätta det i nationell lagstiftning. Ändå uppfyller många organisationer fortfarande inte kraven två år efter att direktivet godkändes.

Det finns siffror på att så många som två tredjedelar (66 procent) av berörda organisationer missar tidsfristen den 17 oktober, trots att nio av tio menar sig ha drabbats av incidenter som skulle kunna ha förhindrats av åtgärder som är obligatoriska inom NIS2.

Tittar man på EU:s medlemsländer så är det endast två av 27 – Kroatien och Italien – som fullt ut har hunnit införliva direktivet i sin nationella lagstiftning. Estland och Portugal ligger längst bak i arbetet och har ännu inte påbörjat processen.

Givet nivåerna på de böter och sanktioner som hotar för den som brister i efterlevnaden framstår den senfärdiga inställningen som något förvånande. Förutom dryga böter för företag och organisationer kan även individer i ledande befattningar komma att sanktioneras personligen.

Utveckling från NIS1

Den första EU-omfattande cybersäkerhetslagstiftningen introducerades 2018 och hette NIS1. Syftet var att implementera en gemensam säkerhetsstandard för alla medlemsstater. NIS2 är en vidareutveckling av samma regelverk och samma underliggande ambition.

De nya reglerna utökar räckvidden, vilket innebär att fler organisationer måste följa reglerna. Generellt gäller NIS2 för organisationer som tillhandahåller kritiska tjänster eller faller under de sektorer som omfattas av NIS2:s utvidgade räckvidd, har fler än 50 anställda eller en årlig omsättning som överstiger 10 miljoner euro.

Operatörer av kritisk infrastruktur omfattades av NIS1 och därmed även av NIS2. Organisationer inom sektorer som digitala tjänster, rymdindustri, posttjänster, nätverksoperatörer, kemiska producenter/distributörer och vissa tillverkare omfattas nu också av NIS2. Organisationer delas in i "väsentliga" och "viktiga", där samtliga anses vara kritiska sektorer, men vissa mer än andra. Klassificeringen avgör vilka specifika krav organisationer måste uppfylla.

Varje organisation måste avgöra om de omfattas av NIS2, inte bara på grund av potentiella straff utan också eftersom reglerna ställer olika krav på olika sektorer. Även om NIS2 syftar till att höja säkerhetsnivån i många branscher till en gemensam nivå, är efterlevnadskraven inte desamma för alla.

Vad är nytt?

Förutom att fler organisationer omfattas av direktivet, introduceras fyra huvudsakliga områden med skärpta krav: riskhantering, företagsansvar, obligatorisk incidentrapportering och kontinuitetsplanering.

• Riskhantering: Organisationer måste vidta tillräckliga åtgärder för att minimera hot mot nätverks- och leveranskedjesäkerhet, förbättra åtkomstkontroll (använda multifaktorsautentisering), införa kryptering och ha en incidenthanteringsplan redo vid en allvarlig attack.

• Företagsansvar: Chefer i berörda organisationer måste ha en full förståelse för direktivet och ansvara för att hantera cybersäkerhetsrisker.

• Obligatorisk rapportering: Incidenter måste inom 24 timmar från upptäckt rapporteras till en databas som hanteras av EU:s cybersäkerhetsbyrå ENISA.

• Kontinuitetsplanering: Organisationer måste säkerställa att verksamheten kan fortsätta vid en större cyberattack.

Checklista för efterlevnad

Eftersom kraven varierar mellan organisationer är det svårt att skapa en universell checklista, men nedan följer de mest grundläggande stegen:

• Identifiera om din organisation omfattas av NIS2.
• Förstå kraven och utvärdera den nuvarande efterlevnadsnivån.
• Säkerställ budget för nödvändiga förändringar.
• Identifiera vilka andra lagar inom EU:s cybersäkerhet som är tillämpliga.
• Genomför cybersäkerhetsbedömningar för att identifiera sårbarheter och hot.
• Bedöm tredjepartsrisker och upprätta lämpliga hanteringsprocedurer.
• Utveckla planer för incidenthantering, kontinuitet och cybersäkerhet.
• Inför säkerhetsåtgärder som multifaktorsautentisering (MFA).
• Säkerställ att personal får uppdaterad cybersäkerhetsutbildning.

Straff och hinder för bristande efterlevnad

Organisationer klassificerade som "väsentliga" riskerar böter på minst 10 miljoner euro eller 2 procent av sin globala årsomsättning. Organisationer som klassificeras som "viktiga" kan få lägre böter, men fortfarande såpass höga som 7 miljoner euro eller 1,4 procent av den globala årsomsättningen.

Misslyckad efterlevnad kan också innebära rättsliga konsekvenser för företagsledare. Som ett exempel inkluderar den nationella implementeringen av NIS2 i Irland risk för fängelsestraff.

Trots riskerna är många organisationer inte förberedda. Det går att argumentera för att stöd och vägledning från nationella myndigheter borde varit bättre eller att kraven blir orimligt betungande parallellt med alla andra regler som ska efterlevas. Men i grunden ligger det i organisationernas självintresse att stärka cybersäkerheten och skydda kritiska tjänster i en alltmer hotfull cybervärld.