En uppdatering av EU:s cybersäkerhetsdirektiv
EU:s medlemsstater har under några år levt med NIS-direktivet, som infördes för att höja cybersäkerhetsnivån i hela unionen. NIS står för ”Network and Information Systems” och fokuserar främst på säker hantering av nätverk och informationssystem. Nu är det dock dags för en uppdatering, och i slutet av 2022 klubbade EU igenom NIS2-direktivet som utvidgar dess täckning och stärker kraven. Har du koll på hur er verksamhet eventuellt påverkas?
Vad är de stora förändringarna i NIS2?
NIS2 kommer att omfatta fler sektorer av organisationer och införa nya minimikrav för åtgärder. Dessutom kommer det att införas mer precisa rapporteringskrav. Andra förändringar som föreslås i NIS2 är frivilliga sakkunniga bedömningar, så kallade ”peer reviews”.
Vilka verksamheter omfattas av NIS2?
NIS-direktivet infördes för att höja säkerhetsnivån inom nätverk och informationssystem för samhällsviktiga tjänster. De sektorer som omfattades av NIS-direktivet och som även inkluderas i NIS2 är energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, samt leverans och distribution av dricksvatten och digital infrastruktur.
Utöver dessa sektorer har NIS2 utvidgats för att även omfatta avloppsvatten; förvaltning av IKT-tjänster; offentlig förvaltning; rymden; post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; samt digitala leverantörer och forskning. Det är en omfattande lista, och vilka verksamheter som omfattas inom varje sektor är ännu inte helt klart definierat.
För s.k. "väsentliga entiteter” gäller proaktiv tillsyn av myndigheter samt högre ekonomiska påföljder, medan s.k. ”viktiga entiteter” har lägre ekonomiska påföljder och förväntas en mer reaktiv tillsyn.
En av de stora utökningarna i NIS2 är att även leveranskedjan till de berörda verksamheterna inkluderas i de flesta fall, exempelvis produkttillverkare, operatöreroch tjänsteleverantörer. Omfattningen har därmed utökats långt utöver de traditionella kritiska infrastrukturorganisationerna, vilket kan innebära stora omvälvningar i arbetssätt och kravhantering för de leverantörer som kanske inte alltid behövt ta hänsyn till dylika krav tidigare.
Vilka krav ställs i NIS2?
NIS2 stärker kraven på riskhanteringsåtgärder och rapportering för väsentliga och viktiga entiteter. Varje medlemsstat ska säkerställa att dessa entiteter vidtar tekniska, operationella och organisatoriska åtgärder för att hantera säkerhetsrisker i nätverk och informationssystem. Det räcker alltså inte att bara implementera ett system och tro att man uppfyller kraven i NIS2, utan en grundlig översyn av verksamheten är nödvändig.
De tre huvudmålen med NIS2:
1. Förbättra cybersäkerheten för viktiga organisationer
Omfattningen av organisationer som omfattas av NIS2 är bredare jämfört med det ursprungliga NIS-direktivet. Alla offentliga och privata organisationer som omfattas måste följa samma cybersäkerhetsåtgärder, vilket minskar antalet sårbara områden bland EU:s tjänsteleverantörer.
2. Stärka motståndskraften genom strängare säkerhetskrav och hårdare påföljder
Det ursprungliga NIS-direktivet gav organisationer möjlighet att anpassa hur de tillämpar cybersäkerhetskraven. Detta ledde dock till svaga länkar och inkonsekventa säkerhetsnivåer inom EU. De nya säkerhetskravenär bättre anpassade för att åtgärda bristerna i NIS-direktivet.
3. Förbättra EU:s kollektiva förmåga att förbereda sig föroch hantera cyberhot
Detta skall uppnås genom förbättrad kommunikation och informationsutbyte mellan EU och medlemsländerna. NIS2 beskriver också direktiv som ska följas vid större cybersäkerhetsincidenter.
Strängare krav på cybersäkerhet
NIS2 höjer kraven på organisationer som tillhandahåller samhällsviktiga tjänster. För att säkerställa en robustare skyddsnivå måste dessa organisationer nu uppfylla:
- Djupgående riskbedömningar och införande av robusta IT-säkerhetspolicyer.
- Effektiv upptäckt, förebyggande och snabb reaktion vid IT-säkerhetsincidenter.
- Krisledning och säkerställande av verksamhetskontinuitet vid större cyberattacker.
- Säkerställande av trygga leveranskedjor, inklusive säkra databehandlings- och lagringsleverantörer.
- Hela nätverk och informationssystem, från anskaffning till underhåll, måste genomsyras av säkerhet.
- Etablering av riktlinjer för att utvärdera effektiviteten hos cybersäkerhetsriskhantering.
- Användning av kryptografi och kraftfull kryptering för att skydda känslig information.
Genom att följa dessa bestämmelser kan organisationer förstärka sin förmåga att motstå och bekämpa digitala hotoch därmed trygga de viktiga tjänster de levererar.
Nya krav på rapportering av incidenter
Vid en eventuell incident kräver NIS2 att organisationen ska rapportera den inom 24 timmar från första upptäckt, och att en efterföljande mer utförlig rapport ska lämnas in senast 72 timmar efter upptäckt. Därefter ska en fullständig slutrapport lämnas in efter en månad.
Högre påföljder vid överträdelser
NIS2 innebär även skärpta tillsynsåtgärder och företag som inte följer standarderna riskerar betydande böter. Styrande organ kan även hållas personligt ansvariga om inte lagstiftningen efterlevs.
När träder NIS2 i kraft?
Just nu pågår en utredning för att bland annat ta reda på vilka potentiella lagändringar som behöver göras samt vilka eventuella myndigheter som behöver involveras för efterlevnadskontroll. Utredningen ska presenteras i februari 2024 och NIS2-direktivet kommer att träda i kraft i hela EU från och med den 17:e oktober 2024.
Hur bör berörda företag och organisationer agera?
Det finns inte mycket utrymme att agera mellan det att utredningen presenteras och NIS2 träder i kraft vilket innebär att som berörd organisation bör man vidta åtgärder redan nu.Om ni behöver hjälp med attt.ex. analysera er nuvarande situation;införa eller utökaledningssystem; planera eller implementera nya arbetssätt;riskhantering; krishantering eller tekniska säkerhetstjänster så finns vi som partner under hela processen.
Inläggsförfattare
Inläggsförfattare
