Vad är NIS2

I vår alltmer digitaliserade värld blir cybersäkerhet en allt viktigare fråga. För att möta dessa utmaningar har EU tagit fram NIS2, en uppdatering av det tidigare cybersäkerhetsdirektivet NIS. NIS2 införs för att stärka skyddet mot cyberhot över hela EU och träder i kraft från och med den 18 oktober 2024, sedan har alla länder i EU 21 månader på sig att införa direktivet i sina nationella lagar.

NIS2 står för "Network and Information Systems Directive 2". Det är en omfattande uppdatering som inte bara förbättrar det tidigare direktivet utan också introducerar strängare krav och utökar antalet sektorer som omfattas. Detta innebär att fler organisationer än tidigare, från offentliga myndigheter till i vissa fall även mindre företag, måste vidta åtgärder för att skydda sina nätverk och informationssystem.

NIS2 sammanfattning

Utökad omfattning

Den främsta förändringen i NIS2 är att direktivet inkluderar nu fler sektorer som bland annat offentlig förvaltning, IT-tjänster och digitala tjänsteleverantörer, vilket betyder att ett bredare spektrum av företag måste följa dessa nya regler.

Förstärkta krav

NIS2 kräver att alla berörda organisationer implementerar förbättrade riskhanteringsprocesser och incidentrapporteringssystem. Dessa system måste kunna identifiera, rapportera och hantera incidenter effektivt och snabbt.

Strängare sanktioner

Om reglerna inte följs kan organisationer stå inför höga böter, upp till 10 miljoner euro eller 2% av den globala omsättningen, vilket är avsett att fungera avskräckande och säkerställa att alla tar dessa krav på största allvar.

Hur förbereder du dig för NIS2?

Om din verksamhet faller inom någon av de sektorer som omfattas av de nya kraven, är det avgörande att vara väl förberedd. Med vår tjänst för nätverksgranskning säkerställer vi att du möter dessa krav effektivt.

Uppdaterade säkerhetsprotokoll

Du måste se över och förbättra dina säkerhetsstrategier för att inkludera omfattande riskhantering och effektiv incidenthantering.

Snabbare incidentrapportering

Du måste kunna rapportera allvarliga incidenter inom 24 timmar för att möta de nya kraven, vilket kan kräva bättre tekniska system och processer.

Regelbunden översyn och utbildning

Det är avgörande att regelbundet granska dina säkerhetssystem och hålla din personal väl informerad och utbildad om de senaste säkerhetsstandarderna.

Vanliga frågor om NIS2

Vad är syftet med NIS2-direktivet?

• NIS2 syftar till att förbättra cybersäkerheten i hela EU. Direktivet innebär att både offentliga och privata organisationer måste stärka sina säkerhetsåtgärder för att skydda sina nätverk och informationssystem. Målet är att minska risken för cybersäkerhetsincidenter och öka samarbetet mellan EU-länderna.

Vilka krav ställer NIS2?

• Utökad Omfattning: NIS2 gäller nu för fler typer av verksamheter, som offentlig förvaltning och digitala tjänster, inte bara stora industriföretag. Det innebär att även mindre företag kan behöva följa dessa regler.
• Strängare Säkerhetskrav: Alla företag som berörs måste ha starka säkerhetssystem för att skydda sina data och nätverk. Detta inkluderar allt från att förbättra hur man skyddar information till att ha en plan för vad man gör om man blir hackad.
• Incidentrapportering:Om ett säkerhetsproblem uppstår, måste det rapporteras till myndigheterna inom 24 timmar. Det hjälper till att snabbt hantera problem och förhindrar att de sprids.
• Sanktioner vid Non-Compliance: Om ditt företag inte uppfyller de nya kraven kan det resultera i böter. Dessa är avsedda att vara avskräckande och kan bli mycket kostsamma.
• Förstärkt Tillsyn: Myndigheterna kommer att ha ökade befogenheter för att övervaka och granska att företag följer reglerna. Det kan innebära regelbundna kontroller och revisioner av hur företag hanterar sin cybersäkerhet.
• Ökad Ansvarighet och Transparens: Organisationer kommer att behöva visa upp en högre grad av ansvarighet när det gäller cybersäkerhet. Detta kan innebära allt från att förbättra interna policyer och procedurer till att rapportera och dokumentera säkerhetsåtgärder och incidenter. Nis2-direktivet gäller för ett brett spektrum av organisationer:

Vilka påverkas av NIS2?

• Essentiella tjänsteleverantörer: Inkluderar sektorer som energi, transport, hälsovård, bankväsende och digital infrastruktur.
• Digitala tjänsteleverantörer: Till exempel molntjänster och online-marknadsplatser.
• Offentliga myndigheter: Lokala och nationella myndigheter som hanterar kritisk infrastruktur.

När börjar NIS2 att gälla?

• NIS2-direktivet träder i kraft inom EU den 18 oktober 2024. Sverige planerar att implementera det nya direktivet i svensk lagstiftning från och med den 1 januari 2025. Utredningen som detaljerar implementeringen ska presenteras senast den 16 september 2024.

Läs mer om regeringens utredning här

Vilka säkerhetsåtgärder måste organisationer implementera?

• Riskhanteringssystem: För att identifiera och minska risker.
• Incidenthanteringsplaner: För att kunna svara snabbt på säkerhetsincidenter.
• Regelbunden säkerhetsövervakning: För att ständigt kontrollera och förbättra säkerheten.

Hur ska organisationer rapportera incindenter enligt NIS2?

• Alla allvarliga cybersäkerhetsincidenter måste rapporteras till nationella tillsynsmyndigheter inom 24 timmar efter att de har upptäckts.

Hur förbereder man sin organisation för NIS2?

• Gör en riskanalys: Starta med att identifiera potentiella säkerhetsbrister.
• Uppdatera säkerhetsplaner: Se till att ni har aktuella och effektiva planer för att hantera olika typer av incidenter.
• Utbilda personalen: Alla anställda bör känna till de nya reglerna och hur de ska agera vid en incident.

Webinar för dig som vill veta mer om NIS2

Vill du lära dig mer om NIS2 och hur du kan stärka ditt nätvärk?
Kolla webinaret här