Nät- och informationssäkerhetssystem har blivit en central fråga under den digitala tidsåldern då vårt samhälle blir alltmer beroende av en digital infrastruktur som är välfungerande och trygg. Med en snabb digital utveckling och ett ökande hot om cyberattacker har det blivit avgörande att stärka kollektiva åtgärder på detta område. Därför har EU antagit NIS2-direktivet.
NIS2 är en uppdaterad version av det ursprungliga NIS-direktivet (även känt som direktivet om nät- och informationssäkerhet), som antogs 2016 och trädde i kraft 2018. Syftet med NIS2 är att stärka cybersäkerheten och skydda kritiska infrastrukturer och tjänster i EU.
Vad är NIS2-direktivet?
NIS2-direktivet reglerar företag och myndigheter inom området för cyber- och informationssäkerhet. Lagstiftningen kräver att tekniska, operativa och organisatoriska åtgärder genomförs för att kunna hantera de risker som hotar systemen.
Det nya NIS2-direktivet är en viktig milstolpe i EU:s arbete för att skydda kritisk infrastruktur, och det ska synas i nationella regler som organisationer måste följa. Jämfört med det ursprungliga direktivet innehåller NIS2 ett antal förbättringar och uppdateringar, dessa är bland annat:
- Utökat tillämpningsområde: NIS2 omfattar ett större antal sektorer och tjänster, t.ex. livsmedelsproduktion och avfallshantering, samt hela leveranskedjan i de sektorer som omfattas.
- Förbättrad tillsyn och verkställighet: NIS2 innehåller förbättrade krav gällande tillsyn och verkställighet av cybersäkerhetsregler, vilket ger organisationer större ansvar för att säkerställa efterlevnad. I Sverige är det myndigheten för samhällsskydd och beredskap som ansvarar för att genomföra NIS-direktivet.
- Ökade krav på säkerhetsåtgärder: NIS2 ställer ökade krav på riskhantering och implementering av skadeförebyggande och –begränsande åtgärder som reducerar risker och konsekvenser.
Genom att förstå vad NIS2-direktivet är och hur det påverkar din organisation kan ni uppfylla de ökade kraven och undvika påföljder – och viktigast av allt, minimera risken för cyberattacker.
Vem omfattas av NIS2-direktivet?
NIS2-direktivet skiljer mellan "väsentliga enheter" och "viktiga enheter", och de sektorer som omfattas av direktivet är:
Väsentliga enheter:
- Energi
- Transport
- Finans
- Hälsa
- Dricksvatten och avloppsvatten
- Digital infrastruktur
- Offentlig förvaltning
- Flyg och rymd
Viktiga enheter:
- Post- och pakettjänster
- Avfallshantering
- Kemiska produkter
- Livsmedel och drycker
- Läkemedel, elektronik, optisk utrustning, maskiner och fordon
- Online-marknadsplatser, sökmotorer och sociala plattformar
NIS2-direktivet erkänner också vikten av att skydda hela leveranskedjan mot cyberhot. Även om direktivet i första hand riktar sig till väsentliga och viktiga enheter innehåller det också bestämmelser som tar hänsyn till cyberrisker i leveranskedjan.
Även om direktivet inte direkt kräver att alla organisationer i leveranskedjan ska uppfylla samma krav som de primärt berörda enheterna, skapar det en kaskadeffekt där större organisationer ställer säkerhetskrav på sina leverantörer och partners. På så sätt kommer många fler än de ovan att påverkas av NIS2-direktivet.
Vad innebär NIS2 för din organisation?
I NIS2-direktivet fastställs krav på styrning, riskhantering, säkerhetsåtgärder, kontinuitet i verksamheten och rapportering till myndigheter. Allt i syfte att förbättra cybersäkerheten och skydda din organisations nätverk och informationssystem.
Bland de viktigaste kraven i direktivet finns:
1) Ledningens ansvar
Organisationens ledning måste känna till kraven i direktivet och dess riskhanteringsinsatser. Det kommer således att finnas ett direkt ledningsansvar för att identifiera och hantera cyberrisker samt säkerställa efterlevnad av kraven i NIS2-direktivet.
2) Riskanalys och riskhantering
Organisationer som omfattas av NIS2-direktivet måste genomföra en riskanalys och identifiera och bedöma alla betydande risker i samband med sårbarheter och hot. Lämpliga säkerhetsåtgärder måste sedan införas.
3) Säkerhetsåtgärder
Berörda organisationer måste genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda sina nätverk och informationssystem mot cyberrisker. Detta kan bland annat omfatta uppdatering av mjuk- och hårdvara, användning av kryptering, förstärkning av åtkomstkontroller och upprättande av regelbundna säkerhetsrevisioner.
4) Kontinuitet i verksamheten
Organisationen måste överväga – och ha en plan för hur den ska säkerställa verksamhetens kontinuitet i händelse av en cybersäkerhetsincident. Detta inbegriper nödförfaranden och etablerande av en krisorganisation.
5) Rapportering
Enligt NIS2-direktivet ska berörda organisationer rapportera cybersäkerhetsincidenter som har en betydande inverkan på kontinuiteten av de tjänster som de tillhandahåller. Detta innebär att processer måste upprättas för hur rapportering ska ske inom rätt ramar och tid.
Om ovanstående incidenter inträffar ska det rapporteras så snart som möjligt till NSB – och senast inom 24 timmar. Organisationen ska bl.a. lämna information om:
- antalet användare som berörs av incidenten
- orsaken till och varaktigheten av incidenten
- det drabbade geografiska området, inklusive andra EU-länder
- hanteringen av incidenten.
6) Leverantörskedjan
Enligt NIS2-direktivet måste de organisationer som omfattas även ta hänsyn till säkerheten i sina leveranskedjor. Det innebär att ni måste bedöma och hantera de risker som är förknippade med era leverantörer och andra partner i leveranskedjan.
I praktiken uppmuntrar NIS2 organisationer att genomföra lämpliga säkerhetsåtgärder och övervaka leveranskedjan för att minimera risken för cyberattacker. Detta kan bland annat göras genom att införa krav om att leverantörerna ska följa specifika säkerhetsstandarder, genomföra regelbundna säkerhetsrevisioner och kräva att leverantörerna rapporterar eventuella cybersäkerhetsincidenter.
När träder NIS2-direktivet i kraft?
Den 27 december 2022 offentliggjordes den slutliga texten till NIS2-direktivet och därmed började nedräkningen till implementering.
Direktivet ska vara implementerat i svensk lag senast den 17 oktober 2024, och även om det på pappret är lång tid, kan det krävas relativt stora förändringar och allokering av resurser för att uppfylla kraven. Alla berörda organisationer kan därför med fördel komma igång redan nu.
Det finns ett antal befintliga ramverk, certifieringar och liknande som kan hjälpa organisationer på vägen, inklusive ISO 27001-standarden. Utöver det kan det också vara en bra idé att få extern rådgivning om implementeringen.
