NIS2-di­rek­ti­vet är ett EU-direktiv som stärker cy­ber­re­si­li­en­sen hos eu­ro­pe­is­ka med­lems­sta­ter och företag genom strängare regler. Det omfattar im­ple­men­te­ring av sä­ker­hets­åt­gär­der för för­bätt­rat IT-skydd, samt sä­ker­hets­kon­trol­ler och snabba rap­por­te­rings­ka­na­ler för cy­ber­sä­ker­hets­in­ci­den­ter. Även om Stor­bri­tan­ni­en inte im­ple­men­te­rar di­rek­ti­vet eftersom de inte längre är bundna av EU-lag­stift­ning­en, är det en god idé att känna till det om du bedriver verk­sam­het inom EU.

Vad är NIS2-di­rek­ti­vet?

EU:s NIS2-direktiv syftar till att förbättra mot­stånds­kraf­ten mot cy­ber­sä­ker­hets­hot i med­lems­sta­ter­nas kritiska och viktiga in­fra­struk­tu­rer. För­kort­ning­en NIS2 står för ”Network and In­for­ma­tion Security 2” (nät- och in­for­ma­tions­sä­ker­het 2). När det trädde i kraft den 16 januari 2023 ersatte det det tidigare NIS1-di­rek­ti­vet, som redan hade lett till en för­änd­ring i hur man hanterar IT-säkerhet.

För att sä­ker­stäl­la maximalt skydd inom både den privata och den of­fent­li­ga sektorn i EU:s med­lems­sta­ter inför det nya NIS2-di­rek­ti­vet mer om­fat­tan­de och strängare regler för en bredare målgrupp. På så sätt syftar de nya reglerna till att sä­ker­stäl­la större cy­ber­re­si­li­ens och ef­fek­ti­va­re åtgärder mot cy­ber­sä­ker­hets­hot och sä­ker­hets­ö­ver­trä­del­ser. NIS2 syftar också till att sä­ker­stäl­la att viktiga in­sti­tu­tio­ner som förser be­folk­ning­en med livsvik­ti­ga varor eller tjänster skyddas mot avbrott och stör­ning­ar i händelse av en kris.

Hu­vud­syf­tet med NIS2 är att bättre förbereda företag mot cy­be­r­at­tac­ker och att reagera effektivt och snabbt på IT-stör­ning­ar. En mer enhetlig sä­ker­hets­stra­te­gi i EU:s med­lems­sta­ter bör därför skapa högsta möjliga cy­ber­sä­ker­het på både nationell och in­ter­na­tio­nell nivå inom EU-området. Alla med­lems­sta­ter måste införliva di­rek­ti­vet i nationell lag­stift­ning, vilket påverkar stora företag och små och me­del­sto­ra företag som omfattas av de nya be­stäm­mel­ser­na.

Vad förändras genom NIS2-di­rek­ti­vet?

Skyl­dig­he­ten att genomföra di­rek­ti­vet om för­stärk­ning av cy­ber­sä­ker­he­ten (NIS2UmsuCG) medför långt­gå­en­de för­änd­ring­ar inom 18 olika sektorer. Bland annat klas­si­fi­ce­ras mer än dubbelt så många sektorer som vä­sent­li­ga och listan över böter för bristande ef­ter­lev­nad har skärpts. Dessutom kommer även verk­stäl­lan­de di­rek­tö­rer att hållas ansvariga.

I Tyskland, Spanien, Italien och Frankrike kommer NIS2-di­rek­ti­vet att påverka tusentals företag. I Tyskland kommer upp till 40 000 företag att behöva följa det nya di­rek­ti­vet och i Italien cirka 50 000 företag. I Spanien kommer cirka 25 000 företag att omfattas av det nya di­rek­ti­vet, medan i Frankrike kommer över 10 000 företag att påverkas.

Här är en översikt över alla för­änd­ring­ar som NIS2-di­rek­ti­vet medför:

  • Ut­vidg­ning av området för vä­sent­li­ga sektorer: NIS2 klas­si­fi­ce­rar ännu fler sektorer som vä­sent­li­ga.
  • Strängare straff: Di­rek­ti­vet innebär betydligt högre böter för över­trä­del­ser.
  • Led­ning­ens ansvar: Ledningen har nu ett direkt ansvar för ef­ter­lev­na­den av cy­ber­sä­ker­hets­kra­ven.
  • Utökade tillämp­nings­om­rå­den: NIS2-di­rek­ti­vet gäller för företag med mer än 50 anställda eller en om­sätt­ning på mer än 10 miljoner euro och för vissa företag oavsett storlek.
  • Behov av om­fat­tan­de ris­ka­na­ly­ser: Företag har en skyl­dig­het att genomföra grundliga ris­ka­na­ly­ser.
  • Krav på risk- och sä­ker­hets­han­te­ring: Stränga krav gäller för risk­han­te­ring och sä­ker­hets­åt­gär­der. Olika skydds­åt­gär­der såsom pe­netra­tions­tes­ter, hård­va­ru­brand­väg­gar och sä­ker­hetsko­pi­e­rings­stra­te­gi­er är ob­li­ga­to­ris­ka.
  • Ob­li­ga­to­risk krishan­te­ring: Snabba och effektiva krishan­te­rings­stra­te­gi­er, kom­mu­ni­ka­tions­ka­na­ler och rap­por­te­rings­sy­stem krävs i händelse av sä­ker­hets­in­ci­den­ter.
  • An­vänd­ning av be­fint­li­ga sä­ker­hets­pro­to­koll: Företag kan använda be­fint­li­ga sä­ker­hets­stan­dar­der från reglerade branscher som referens.

Vem berörs av NIS2-di­rek­ti­vet?

NIS2 skiljer mellan företag i den utvidgade kategorin för vä­sent­li­ga företag och den helt nya kategorin för viktiga företag. Företag med fler än 50 anställda eller en årlig om­sätt­ning på 10 miljoner euro eller mer påverkas direkt. Dessutom kan företag också omfattas av NIS2 oavsett storlek om deras miss­lyc­kan­de leder till system­ris­ker. Kategorin ”vä­sent­li­ga” omfattar företag från elva sektorer, däribland särskilt företag med kritisk in­fra­struk­tur som är avgörande för staten och samhället. Kategorin ”viktiga” gäller i sin tur sju sektorer som är system­vik­ti­ga.

Viktiga sektorer och företag

  • Energi
  • Vat­ten­för­sörj­ning
  • Transport
  • Bank
  • Fi­nan­si­el­la mark­nads­in­fra­struk­tu­rer
  • Hälso- och sjukvård
  • Rymd
  • Av­lopps­vat­ten
  • Offentlig för­valt­ning
  • Digital in­fra­struk­tur
  • IKT-tjäns­te­han­te­ring (B2B)

Viktiga sektorer och företag

  • Post- och bud­tjäns­ter
  • Avfall
  • Kemisk industri
  • Livs­me­dels­för­sörj­ning
  • Le­ve­ran­tö­rer av digitala tjänster
  • Industri (be­ar­bet­ning/till­verk­ning)
  • Forskning (valfritt)

Vilka skyl­dig­he­ter gäller för företag?

Som en del av NIS2 omfattas företag av strikta skyl­dig­he­ter och betydande för­änd­ring­ar. Dessa in­klu­de­rar:

Skyl­dig­he­ter Åtgärder
Risk­han­te­ring och kon­ti­nu­i­tets­pla­ne­ring (§30, 31) Kryp­te­ring, multi­fak­to­rau­ten­ti­se­ring, kryp­to­gra­fi, cy­ber­hy­gi­en, roll­till­del­ning och åt­komst­kon­troll, sä­ker­hetsko­pi­e­rings­han­te­ring och syste­må­ter­ställ­ning, säkerhet i le­ve­ransked­jan och ris­ka­na­ly­ser är ob­li­ga­to­ris­ka. Mi­ni­mikra­ven varierar beroende på fö­re­ta­gets storlek tack vare regeln om ”stor­leks­be­gräns­ning”.
Rap­por­te­rings- och an­mäl­nings­skyl­dig­he­ter (§32, 35) Viktiga sä­ker­hets­in­ci­den­ter måste rap­por­te­ras till myn­dig­he­ter­na inom 24 timmar. En första bedömning måste finnas till­gäng­lig efter 72 timmar. En de­tal­je­rad slut­rap­port måste lämnas in inom en månad.
Re­gi­stre­rings­skyl­dig­he­ter (§33, 34) Berörda or­ga­ni­sa­tio­ner och le­ve­ran­tö­rer av do­män­namns­re­gi­stre­rings­tjäns­ter måste lämna in­for­ma­tion till de ansvariga myn­dig­he­ter­na senast tre månader efter det att NIS2 trätt i kraft. Om re­gi­stre­rings­skyl­dig­he­ten inte uppfylls kan den också uppfyllas av ett CSIRT (Computer Security Incident Response Team).
God­kän­nan­de-, över­vak­nings- och ut­bild­nings­skyl­dig­he­ter för verk­stäl­lan­de di­rek­tö­rer (§38) Det räcker inte längre att ledningen delegerar sä­ker­hets­åt­gär­der. Ledningen måste aktivt godkänna nöd­vän­di­ga åtgärder och är delvis skyldig att till­han­da­hål­la ut­bild­ning.
Tillsyns- och verk­stäl­lig­hets­åt­gär­der (§61, 62) En av CSIRT-grupperna förväntas fungera som till­syns­myn­dig­het för ef­ter­lev­na­den av de er­for­der­li­ga åt­gär­der­na. Tidigast tre år efter att NIS2 trätt i kraft har till­syns­myn­dig­he­ten möjlighet att begära bevis på att skyl­dig­he­ter­na efterlevs. Åtgärder kan vidtas i händelse av över­häng­an­de fara.

För att uppfylla dina skyl­dig­he­ter som berört företag i ett tidigt skede bör du vidta följande åtgärder:

  • FAKTISK och MÅL-analys: Kon­trol­le­ra om du omfattas av NIS2-kraven och fastställ status quo för ditt företags cy­ber­re­si­li­ens samt po­ten­ti­el­la för­bätt­rings­om­rå­den.
  • Im­ple­men­te­ring: Ris­ka­na­lys och sä­ker­hetskon­cept måste införas för alla in­for­ma­tions­sy­stem.
  • Ut­vär­de­ring: Ef­fek­ti­vi­te­ten i ditt företags egna risk­han­te­rings­me­to­der bör granskas re­gel­bun­det.
  • Skapande: Det är ob­li­ga­to­riskt att utveckla ett koncept för hantering av sä­ker­hets­in­ci­den­ter.
  • Sä­ker­hetsko­pi­e­ring och krishan­te­ring: Åtgärder för sä­ker­hetsko­pi­e­ring av data och krishan­te­ring måste im­ple­men­te­ras.
  • Rap­por­te­rings­sy­stem: Ett effektivt rap­por­te­rings­sy­stem för sä­ker­hets­in­ci­den­ter bör inrättas.
  • Ut­bild­ning: Anställda måste utbildas re­gel­bun­det.
  • Säkerhet i le­ve­ransked­jan: Sä­ker­he­ten i le­ve­ransked­jan måste sä­ker­stäl­las.

Vad händer om NIS2 inte im­ple­men­te­ras?

Företag som inte genomför de fö­re­skriv­na åt­gär­der­na kan förvänta sig betydande böter (§65). I enlighet med NIS2 ges till­syns­myn­dig­he­ter­na om­fat­tan­de tillsyns-, kontroll- och in­struk­tions­be­fo­gen­he­ter, inklusive verk­stäl­lan­de av tids­fris­ter. Dessutom tar verk­stäl­lan­de di­rek­tö­rer ett betydligt större ansvar för skydds- och sä­ker­hets­åt­gär­der och kan hållas per­son­ligt ansvariga vid över­trä­del­ser eller för­sum­mel­ser (§38, §61).

När träder NIS2-di­rek­ti­vet i kraft?

Den 14 december 2022 antog Eu­ro­pa­par­la­men­tet och rådet direktiv (EU) 2022/2555, känt som NIS2-di­rek­ti­vet. Det inför om­fat­tan­de ändringar i eIDAS-för­ord­ning­en (EU) nr 910/2014 och EECC-di­rek­ti­vet (EU) 2018/1972. Det trädde of­fi­ci­ellt i kraft den 16 januari 2023 och ersatte NIS-di­rek­ti­vet. Det måste in­för­li­vas i nationell lag­stift­ning av alla EU-med­lems­sta­ter senast den 17 oktober 2024.

I olika länder ansvarar olika myn­dig­he­ter för att leda ge­nom­fö­ran­det av di­rek­ti­vet. I Frankrike leder till exempel ANSSI (Na­tio­nel­la byrån för in­for­ma­tions­system­sä­ker­het) ge­nom­fö­ran­det och har till och med lanserat Mon Espace NIS 2, en digital tjänst som syftar till att stödja enheter i ge­nom­fö­ran­det av di­rek­ti­vet. BSI (Federala byrån för in­for­ma­tions­sä­ker­het) är den ansvariga myn­dig­he­ten i Tyskland, och i Spanien övervakar CCN-CERT (Na­tio­nel­la kryp­to­lo­gis­ka centret) cy­ber­sä­ker­hets­åt­gär­der och sä­ker­stäl­ler ef­ter­lev­na­den.

Gå till huvudmeny