EU:s medlemsstater har under några år levt med NIS-direktivet, som infördes för att höja cybersäkerhetsnivån i hela unionen. NIS står för ”Network and Information Systems” och fokuserar främst på säker hantering av nätverk och informationssystem. Nu är det dock dags för en uppdatering, och i slutet av 2022 klubbade EU igenom NIS2-direktivet som utvidgar dess täckning och stärker kraven. Har du koll på hur er verksamhet eventuellt påverkas?
NIS2 kommer att omfatta fler sektorer av organisationer och införa nya minimikrav för åtgärder. Dessutom kommer det att införas mer precisa rapporteringskrav. Andra förändringar som föreslås i NIS2 är frivilliga sakkunniga bedömningar, så kallade ”peer reviews”.
NIS-direktivet infördes för att höja säkerhetsnivån inom nätverk och informationssystem för samhällsviktiga tjänster. De sektorer som omfattades av NIS-direktivet och som även inkluderas i NIS2 är energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, samt leverans och distribution av dricksvatten och digital infrastruktur.
Utöver dessa sektorer har NIS2 utvidgats för att även omfatta avloppsvatten; förvaltning av IKT-tjänster; offentlig förvaltning; rymden; post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; samt digitala leverantörer och forskning. Det är en omfattande lista, och vilka verksamheter som omfattas inom varje sektor är ännu inte helt klart definierat.
För s.k. "väsentliga entiteter” gäller proaktiv tillsyn av myndigheter samt högre ekonomiska påföljder, medan s.k. ”viktiga entiteter” har lägre ekonomiska påföljder och förväntas en mer reaktiv tillsyn.
En av de stora utökningarna i NIS2 är att även leveranskedjan till de berörda verksamheterna inkluderas i de flesta fall, exempelvis produkttillverkare, operatöreroch tjänsteleverantörer. Omfattningen har därmed utökats långt utöver de traditionella kritiska infrastrukturorganisationerna, vilket kan innebära stora omvälvningar i arbetssätt och kravhantering för de leverantörer som kanske inte alltid behövt ta hänsyn till dylika krav tidigare.
NIS2 stärker kraven på riskhanteringsåtgärder och rapportering för väsentliga och viktiga entiteter. Varje medlemsstat ska säkerställa att dessa entiteter vidtar tekniska, operationella och organisatoriska åtgärder för att hantera säkerhetsrisker i nätverk och informationssystem. Det räcker alltså inte att bara implementera ett system och tro att man uppfyller kraven i NIS2, utan en grundlig översyn av verksamheten är nödvändig.
Omfattningen av organisationer som omfattas av NIS2 är bredare jämfört med det ursprungliga NIS-direktivet. Alla offentliga och privata organisationer som omfattas måste följa samma cybersäkerhetsåtgärder, vilket minskar antalet sårbara områden bland EU:s tjänsteleverantörer.
Det ursprungliga NIS-direktivet gav organisationer möjlighet att anpassa hur de tillämpar cybersäkerhetskraven. Detta ledde dock till svaga länkar och inkonsekventa säkerhetsnivåer inom EU. De nya säkerhetskravenär bättre anpassade för att åtgärda bristerna i NIS-direktivet.
Detta skall uppnås genom förbättrad kommunikation och informationsutbyte mellan EU och medlemsländerna. NIS2 beskriver också direktiv som ska följas vid större cybersäkerhetsincidenter.
NIS2 höjer kraven på organisationer som tillhandahåller samhällsviktiga tjänster. För att säkerställa en robustare skyddsnivå måste dessa organisationer nu uppfylla:
Genom att följa dessa bestämmelser kan organisationer förstärka sin förmåga att motstå och bekämpa digitala hotoch därmed trygga de viktiga tjänster de levererar.
Vid en eventuell incident kräver NIS2 att organisationen ska rapportera den inom 24 timmar från första upptäckt, och att en efterföljande mer utförlig rapport ska lämnas in senast 72 timmar efter upptäckt. Därefter ska en fullständig slutrapport lämnas in efter en månad.
NIS2 innebär även skärpta tillsynsåtgärder och företag som inte följer standarderna riskerar betydande böter. Styrande organ kan även hållas personligt ansvariga om inte lagstiftningen efterlevs.
Just nu pågår en utredning för att bland annat ta reda på vilka potentiella lagändringar som behöver göras samt vilka eventuella myndigheter som behöver involveras för efterlevnadskontroll. Utredningen ska presenteras i februari 2024 och NIS2-direktivet kommer att träda i kraft i hela EU från och med den 17:e oktober 2024.
Det finns inte mycket utrymme att agera mellan det att utredningen presenteras och NIS2 träder i kraft vilket innebär att som berörd organisation bör man vidta åtgärder redan nu.Om ni behöver hjälp med attt.ex. analysera er nuvarande situation;införa eller utökaledningssystem; planera eller implementera nya arbetssätt;riskhantering; krishantering eller tekniska säkerhetstjänster så finns vi som partner under hela processen.