Med implementeringen av NIS2 går vi in i en ny era av cybersäkerhet, där förebyggande, beredskap och transparens är nyckelorden i kampen mot digitala hot. Direktivet ska implementeras i oktober 2024, då ett antal organisationer ska uppfylla krav på ledning, riskhantering, kontinuitet i verksamheten och rapportering till myndigheter.
Vad står NIS2 för?
NIS2 står för 'Network and Information Systems 2' - eller på svenska: Nätverks- och informationssäkerhetsdirektivet. NIS2-direktivet är en uppdatering av EU:s ursprungliga NIS-direktiv, som infördes 2018 för att stärka cybersäkerheten över branscher och sektorer i EU:s medlemsländer.
NIS2 utökar och förstärker de befintliga reglerna genom att införa strängare säkerhetskrav, rapporteringsskyldighet och strängare krav på tillsyn och efterlevnad av reglerna.
Vilka NIS2-krav ställer direktivet?
NIS2-direktivet kräver att organisationer vidtar "lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att ta itu med de risker som säkerheten för nätverk och informationssystem utgör". Det är en krystad beskrivning som kort och gott innebär att det kommer att bli nödvändigt att göra riskanalyser löpande för att identifiera och bedöma risker förknippade med sårbarheter och hot, samt för att implementera lämpliga säkerhetsåtgärder.
Huruvida en säkerhetsåtgärd är lämplig i direktivets mening avgörs utifrån en bedömning av risken för att ett hot realiseras och konsekvenserna av detta. Ju högre risk, desto strängare måste säkerhetskraven vara.
Utöver riskhantering som fast kontaktpunkt kräver NIS2 ett antal obligatoriska åtgärder avseende bland annat:
Incidenthantering
NIS2 betonar behovet av en robust incidenthanteringsplan som säkerställer att organisationen är redo när cybersäkerhetsincidenter inträffar. Planen är avgörande för att minimera skador, återställa normal verksamhet så snabbt som möjligt och i slutändan stärka organisationens motståndskraft mot cyberattacker.
Backup och krishantering
I fortsättningen av hanteringen av incidenter kräver NIS2 att organisationen har en IT-beredskapsplan som definierar vad som behöver göras och vem som är ansvarig. Dessutom ska det finnas ett tydligt förfarande för back-up, vilket kan bidra till att säkerställa en snabb återetablering av verksamheten.
Säkerhet i försörjningskedjan
NIS2-direktivet ställer strängare krav på säkerheten i leveranskedjan, vilket innebär att organisationen måste identifiera, bedöma och hantera riskerna förknippade med tredje part. Det gäller leverantörer, distributörer, underleverantörer, tjänsteleverantörer, partners och andra externa aktörer som har tillgång till organisationens data, system eller resurser.
Löpande utvärdering av säkerhetsåtgärder
Framöver kommer ytterligare fokus att läggas på IT-säkerhet i samband med anskaffning, utveckling och drift av organisationens nätverk och informationssystem. Detta inkluderar även hantering och publicering av sårbarheter, precis som det är väsentligt att ha en plan för att förebygga och identifiera attacker mot systemen.
Utbildning av anställda
NIS2 kräver inte bara praktiska åtgärder, utan också utbildning av anställda, så att goda säkerhetsvanor skapas i organisationen, inklusive starka lösenord och regelbundna uppdateringar av mjukvara och antivirus.
LÄS OCKSÅ: NIS2 vs. ISO 27001: Förstå sambandet
Personlig säkerhet och åtkomstkontroll
Direktivet skärper kraven på policyer i samband med bland annat passerkontroll. Det innebär att organisationen måste ha kontroll över användarrättigheter; vem har tillgång till vilka system och data? Samtidigt ska utbildning erbjudas till styrelse och ledning inom säkerhet, dataskydd och dataetik.
Krypteringspolicyer
Om kryptering används i organisationen kräver NIS2 policyer i detta sammanhang. Det ska aktivt tas beslut om vilken data som ska krypteras och hur – både internt och externt.
Dessutom införs i direktivet en särskild rapporteringsskyldighet som ålägger organisationer att snarast och senast inom 24 timmar underrätta myndigheterna om betydande incidenter. Anmälan ska följas upp av en fördjupad uppdatering och bedömning av händelsen inom 72 timmar.
Vem omfattas av NIS2?
Tillämpningsområdet för NIS2 har utökats avsevärt jämfört med föregångaren och det innebär att du som organisation kan bli påverkad av direktivet om du bedriver verksamhet inom:
- Digital infrastruktur
- Dricksvatten och avloppsvatten
- Energi
- Finansiera
- Allmän administration
- Rymdfärder
- Hälsa
- Transport
Dessutom omfattar NIS2-tjänster kopplingar till områden som post- och budtjänster, avfallshantering och tillverkning, produktion och distribution av kemikalier. Livsmedelsproduktion, bearbetning och distribution omfattas också av direktivet på lika villkor med tillverkning av medicinsk och elektronisk utrustning, maskiner, motorfordon samt plattformar för sociala nätverkstjänster, onlinemarknadsplatser och sökmotorer.
