08 – 587 196 00

NIS2-Direktivet: Vad du behöver veta

nis2

Cybersäkerhet är ett allt viktigare ämne för företag och organisationer i alla storlekar. NIS2-direktivet är en ny EU-lag som syftar till att förbättra cybersäkerheten i Europa. Direktivet kommer att påverka många organisationer i Sverige, och det är viktigt att förstå vad det innebär.

Vad är NIS2 direktivet?

NIS2 är en uppdatering av det tidigare NIS-direktivet som syftar till att säkerställa en hög nivå av informationssäkerhet i hela EU genom att stärka skyddet av samhällsviktiga tjänster som en följd av den ökade digitaliseringen och hotbilden av cyberhot.

Vilka sektorer & verksamheter påverkar NIS2?

Direktivet omfattar flera nya sektorer och verksamheter, och ställer krav på säkerhet i nätverk och informationssystem. Detta innebär att organisationer som tillhandahåller samhällsviktiga tjänster och vissa digitala tjänster måste uppfylla krav på säkerhet i nätverk och informationssystem. NIS2-direktivet inför också ett antal förändringar för företag och organisationer som påverkar deras arbete med riskhantering och cybersäkerhet.

Vilka?

NIS2 organisationer

Om du har kunder som tillhandahåller samhällsviktiga tjänster eller vissa digitala tjänster, kan det hända att du också måste uppfylla kraven i NIS2-direktivet.

Vad är kraven i NIS2?

Enligt NIS2-direktivet måste medlemsländerna införliva direktivet i nationell lagstiftning senast den 17 oktober 2024. Detta innebär att de organisationer som omfattas av direktivet måste börja uppfylla kraven senast den 18 oktober 2024.

I Sverige pågår just nu en utredning kring hur NIS2-direktivet ska införlivas i svensk lagstiftning. Utredningen väntas vara klar i februari 2024. Det är därför troligt att svenska organisationer som omfattas av direktivet kommer att få mer information och vägledning under våren och sommaren 2024.

Förberedelserna för NIS2-direktivet bör inledas så snart som möjligt, då det finns en hel del att göra. Här är några steg som organisationer kan ta för att förbereda sig:

  • Utvärdera sin nuvarande cybersäkerhetsstatus. Detta innebär att identifiera vilka risker organisationen står inför och vilka åtgärder som redan vidtas för att hantera dessa risker.
  • Identifiera eventuella brister. Utvärderingen kommer sannolikt att identifiera brister i organisationens cybersäkerhetsarbete. Dessa brister bör åtgärdas så snart som möjligt.
  • Utveckla en plan för att åtgärda bristerna. Planen bör specificera vilka åtgärder som ska vidtas, när de ska vidtas och vem som ska ansvara för att genomföra dem.
  • Öka medvetenheten om cybersäkerhet bland personalen. Alla anställda i organisationen bör ha grundläggande kunskaper om cybersäkerhet. Detta kan uppnås genom utbildning och informationsinsatser.

Här är några specifika åtgärder som organisationer kan vidta för att uppfylla kraven i NIS2-direktivet:

  • Skapa en säkerhetsledningsstruktur. Denna struktur bör säkerställa att cybersäkerheten är en integrerad del av organisationens verksamhet.
  • Implementera en riskhanteringsprocess. Denna process bör användas för att identifiera, analysera och hantera cyberrisker.
  • Implementera tekniska och organisatoriska säkerhetsåtgärder. Dessa åtgärder bör användas för att skydda organisationens informationssystem.
  • Ha en plan för att hantera cyberattacker. Denna plan bör säkerställa att organisationen kan reagera snabbt och effektivt på cyberattacker.
  • Rapportera allvarliga incidenter till tillsynsmyndigheten.

Det är viktigt att notera att NIS2-direktivet är en komplex lagstiftning med många krav. Det är därför viktigt att organisationer får professionell hjälp med att förbereda sig för direktivet. Det finns flera aktörer som erbjuder stöd och rådgivning inom cybersäkerhet, bland annat myndigheter, konsultföretag och branschorganisationer.

Vad kan hända om en organisation inte uppfyller kraven?

Om en organisation inte uppfyller kraven i NIS2-direktivet kan den utsättas för sanktioner, till exempel böter. Sanktionerna kan vara betydande, upp till 10 miljoner euro eller 2 % av den globala omsättningen. Tillsynsmyndigheter i EU-länderna har nu möjlighet att göra proaktiva kontroller av organisationer som omfattas av direktivet. Om en tillsynsmyndighet upptäcker att en organisation inte uppfyller kraven kan den vidta åtgärder, till exempel:

  • Ge en varning.
  • Utföra en granskning.
  • Utdela böterDet är viktigt att notera att sanktionerna endast är ett av de potentiella konsekvenserna av att inte uppfylla kraven i NIS2-direktivet. En organisation som utsätts för en cyberattack som orsakas av bristande cybersäkerhet kan också drabbas av ekonomiska förluster, skadat rykte och andra negativa konsekvenser.

LÄS MER!

Läs mer om våra tjänster