Vad är NIS2? Allt du behöver veta om EU:s cybersäkerhetsdirektiv

STRATO redaktionsteam07/11/20247 mins

Innehåll

NIS2-direktivet är ett EU-direktiv som stärker cyberresiliensen hos europeiska medlemsstater och företag genom strängare regler. Det omfattar implementering av säkerhetsåtgärder för förbättrat IT-skydd, samt säkerhetskontroller och snabba rapporteringskanaler för cybersäkerhetsincidenter. Även om Storbritannien inte implementerar direktivet eftersom de inte längre är bundna av EU-lagstiftningen, är det en god idé att känna till det om du bedriver verksamhet inom EU.

Vad är NIS2-direktivet?

EU:s NIS2-direktiv syftar till att förbättra motståndskraften mot cybersäkerhetshot i medlemsstaternas kritiska och viktiga infrastrukturer. Förkortningen NIS2 står för ”Network and Information Security 2” (nät- och informationssäkerhet 2). När det trädde i kraft den 16 januari 2023 ersatte det det tidigare NIS1-direktivet, som redan hade lett till en förändring i hur man hanterar IT-säkerhet.

För att säkerställa maximalt skydd inom både den privata och den offentliga sektorn i EU:s medlemsstater inför det nya NIS2-direktivet mer omfattande och strängare regler för en bredare målgrupp. På så sätt syftar de nya reglerna till att säkerställa större cyberresiliens och effektivare åtgärder mot cybersäkerhetshot och säkerhetsöverträdelser. NIS2 syftar också till att säkerställa att viktiga institutioner som förser befolkningen med livsviktiga varor eller tjänster skyddas mot avbrott och störningar i händelse av en kris.

Huvudsyftet med NIS2 är att bättre förbereda företag mot cyberattacker och att reagera effektivt och snabbt på IT-störningar. En mer enhetlig säkerhetsstrategi i EU:s medlemsstater bör därför skapa högsta möjliga cybersäkerhet på både nationell och internationell nivå inom EU-området. Alla medlemsstater måste införliva direktivet i nationell lagstiftning, vilket påverkar stora företag och små och medelstora företag som omfattas av de nya bestämmelserna.

Vad förändras genom NIS2-direktivet?

Skyldigheten att genomföra direktivet om förstärkning av cybersäkerheten (NIS2UmsuCG) medför långtgående förändringar inom 18 olika sektorer. Bland annat klassificeras mer än dubbelt så många sektorer som väsentliga och listan över böter för bristande efterlevnad har skärpts. Dessutom kommer även verkställande direktörer att hållas ansvariga.

I Tyskland, Spanien, Italien och Frankrike kommer NIS2-direktivet att påverka tusentals företag. I Tyskland kommer upp till 40 000 företag att behöva följa det nya direktivet och i Italien cirka 50 000 företag. I Spanien kommer cirka 25 000 företag att omfattas av det nya direktivet, medan i Frankrike kommer över 10 000 företag att påverkas.

Här är en översikt över alla förändringar som NIS2-direktivet medför:

Utvidgning av området för väsentliga sektorer: NIS2 klassificerar ännu fler sektorer som väsentliga.
Strängare straff: Direktivet innebär betydligt högre böter för överträdelser.
Ledningens ansvar: Ledningen har nu ett direkt ansvar för efterlevnaden av cybersäkerhetskraven.
Utökade tillämpningsområden: NIS2-direktivet gäller för företag med mer än 50 anställda eller en omsättning på mer än 10 miljoner euro och för vissa företag oavsett storlek.
Behov av omfattande riskanalyser: Företag har en skyldighet att genomföra grundliga riskanalyser.
Krav på risk- och säkerhetshantering: Stränga krav gäller för riskhantering och säkerhetsåtgärder. Olika skyddsåtgärder såsom penetrationstester, hårdvarubrandväggar och säkerhetskopieringsstrategier är obligatoriska.
Obligatorisk krishantering: Snabba och effektiva krishanteringsstrategier, kommunikationskanaler och rapporteringssystem krävs i händelse av säkerhetsincidenter.
Användning av befintliga säkerhetsprotokoll: Företag kan använda befintliga säkerhetsstandarder från reglerade branscher som referens.

Vem berörs av NIS2-direktivet?

NIS2 skiljer mellan företag i den utvidgade kategorin för väsentliga företag och den helt nya kategorin för viktiga företag. Företag med fler än 50 anställda eller en årlig omsättning på 10 miljoner euro eller mer påverkas direkt. Dessutom kan företag också omfattas av NIS2 oavsett storlek om deras misslyckande leder till systemrisker. Kategorin ”väsentliga” omfattar företag från elva sektorer, däribland särskilt företag med kritisk infrastruktur som är avgörande för staten och samhället. Kategorin ”viktiga” gäller i sin tur sju sektorer som är systemviktiga.

Viktiga sektorer och företag

Energi
Vattenförsörjning
Transport
Bank
Finansiella marknadsinfrastrukturer
Hälso- och sjukvård
Rymd
Avloppsvatten
Offentlig förvaltning
Digital infrastruktur
IKT-tjänstehantering (B2B)

Viktiga sektorer och företag

Post- och budtjänster
Avfall
Kemisk industri
Livsmedelsförsörjning
Leverantörer av digitala tjänster
Industri (bearbetning/tillverkning)
Forskning (valfritt)

Vilka skyldigheter gäller för företag?

Som en del av NIS2 omfattas företag av strikta skyldigheter och betydande förändringar. Dessa inkluderar:

Skyldigheter	Åtgärder
Riskhantering och kontinuitetsplanering (§30, 31)	Kryptering, multifaktorautentisering, kryptografi, cyberhygien, rolltilldelning och åtkomstkontroll, säkerhetskopieringshantering och systemåterställning, säkerhet i leveranskedjan och riskanalyser är obligatoriska. Minimikraven varierar beroende på företagets storlek tack vare regeln om ”storleksbegränsning”.
Rapporterings- och anmälningsskyldigheter (§32, 35)	Viktiga säkerhetsincidenter måste rapporteras till myndigheterna inom 24 timmar. En första bedömning måste finnas tillgänglig efter 72 timmar. En detaljerad slutrapport måste lämnas in inom en månad.
Registreringsskyldigheter (§33, 34)	Berörda organisationer och leverantörer av domännamnsregistreringstjänster måste lämna information till de ansvariga myndigheterna senast tre månader efter det att NIS2 trätt i kraft. Om registreringsskyldigheten inte uppfylls kan den också uppfyllas av ett CSIRT (Computer Security Incident Response Team).
Godkännande-, övervaknings- och utbildningsskyldigheter för verkställande direktörer (§38)	Det räcker inte längre att ledningen delegerar säkerhetsåtgärder. Ledningen måste aktivt godkänna nödvändiga åtgärder och är delvis skyldig att tillhandahålla utbildning.
Tillsyns- och verkställighetsåtgärder (§61, 62)	En av CSIRT-grupperna förväntas fungera som tillsynsmyndighet för efterlevnaden av de erforderliga åtgärderna. Tidigast tre år efter att NIS2 trätt i kraft har tillsynsmyndigheten möjlighet att begära bevis på att skyldigheterna efterlevs. Åtgärder kan vidtas i händelse av överhängande fara.

För att uppfylla dina skyldigheter som berört företag i ett tidigt skede bör du vidta följande åtgärder:

FAKTISK och MÅL-analys: Kontrollera om du omfattas av NIS2-kraven och fastställ status quo för ditt företags cyberresiliens samt potentiella förbättringsområden.
Implementering: Riskanalys och säkerhetskoncept måste införas för alla informationssystem.
Utvärdering: Effektiviteten i ditt företags egna riskhanteringsmetoder bör granskas regelbundet.
Skapande: Det är obligatoriskt att utveckla ett koncept för hantering av säkerhetsincidenter.
Säkerhetskopiering och krishantering: Åtgärder för säkerhetskopiering av data och krishantering måste implementeras.
Rapporteringssystem: Ett effektivt rapporteringssystem för säkerhetsincidenter bör inrättas.
Utbildning: Anställda måste utbildas regelbundet.
Säkerhet i leveranskedjan: Säkerheten i leveranskedjan måste säkerställas.

Vad händer om NIS2 inte implementeras?

Företag som inte genomför de föreskrivna åtgärderna kan förvänta sig betydande böter (§65). I enlighet med NIS2 ges tillsynsmyndigheterna omfattande tillsyns-, kontroll- och instruktionsbefogenheter, inklusive verkställande av tidsfrister. Dessutom tar verkställande direktörer ett betydligt större ansvar för skydds- och säkerhetsåtgärder och kan hållas personligt ansvariga vid överträdelser eller försummelser (§38, §61).

När träder NIS2-direktivet i kraft?

Den 14 december 2022 antog Europaparlamentet och rådet direktiv (EU) 2022/2555, känt som NIS2-direktivet. Det inför omfattande ändringar i eIDAS-förordningen (EU) nr 910/2014 och EECC-direktivet (EU) 2018/1972. Det trädde officiellt i kraft den 16 januari 2023 och ersatte NIS-direktivet. Det måste införlivas i nationell lagstiftning av alla EU-medlemsstater senast den 17 oktober 2024.

I olika länder ansvarar olika myndigheter för att leda genomförandet av direktivet. I Frankrike leder till exempel ANSSI (Nationella byrån för informationssystemsäkerhet) genomförandet och har till och med lanserat Mon Espace NIS 2, en digital tjänst som syftar till att stödja enheter i genomförandet av direktivet. BSI (Federala byrån för informationssäkerhet) är den ansvariga myndigheten i Tyskland, och i Spanien övervakar CCN-CERT (Nationella kryptologiska centret) cybersäkerhetsåtgärder och säkerställer efterlevnaden.

Relaterade artiklar

MaximPshutterstock

Vad är slutpunktssäkerhet? Hur du skyddar dina enheter

Företagsnätverk bör vara extremt säkra, men på grund av de många slutpunkterna och mobila enheterna uppvisar de ibland ett stort antal oväntade säkerhetsbrister. Slutpunktssäkerhet erbjuder både tekniska lösningar och säkerhetshanteringsrutiner för att hantera dessa sårbarheter.…

Läs mer

Vad är skimmingbedrägeri och hur skyddar man sig?

Skimming sker när brottslingar manipulerar bankomater för att läsa information från kredit- eller betalkort som har satts in i dem. Även om säkerheten har förbättrats avsevärt utgör denna typ av bedrägeri en reell fara när man tar ut pengar och gör betalningar. Lyckligtvis finns…

Läs mer

Vad är tailgating och hur skyddar du ditt företag?

Många företag fokuserar på att skydda sig mot digitala attacker, men det är viktigt att inte underskatta vikten av fysisk säkerhet. Tailgating är ett sådant hot. Även om det inte bygger på den senaste tekniken utgör det fortfarande en betydande fara. Vi ska titta på vad…

Läs mer