Förbättra cybersäkerhet i hela EU
NIS2-Hur er organisation kan
möta kraven
Uppdaterad: 2024-04-03
I denna artikel går vi igenom NIS2 direktivet från EU.
Vad det är, hur det påverkar er organisation samt hur man kan uppfylla kraven.
Vad är NIS2-direktivet och vilka berör det?
Nätverks- och informationssäkerhetsdirektivet (NIS-direktivet) implementerades av EU 2016 för att förbättra cybersäkerhetspositionen för operatörer av kritisk infrastruktur och leverantörer av digitala tjänster. Med utgångspunkt i den grund som NIS-direktivet lägger, introducerade Europeiska kommissionen NIS2-direktivet, som syftar till att ytterligare stärka cybersäkerhetens motståndskraft i hela EU.
NIS2 utökar omfattningen av sin föregångare genom att omfatta ett bredare utbud av enheter, inklusive onlinemarknadsplatser, sökmotorer och ytterligare sektorer som är viktiga för samhället och ekonomin. Den anger omfattande krav för incidentrapportering, riskhantering, cybersäkerhetskapacitet och samarbetsmekanismer mellan medlemsstaterna.
Två centrala områden i NIS2 är vikten av proaktiv riskhantering Kapitel IV – Artikel 20 och incidentrapportering Kapitel IV – Artikel 23. Organisationer som faller under dess verksamhetsområde är skyldiga att implementera robusta cybersäkerhetsåtgärder, genomföra riskbedömningar och upprätta procedurer för att motverka incidenthantering.
Många medlemsländer och industrisektorer integrerar internationellt erkända standarder och bästa praxis när de formulerar sin nationella lagstiftning. Dessa universellt erkända standarder – som NIST CSF, ISO 27001/27002, CIS Controls – kan fungera som användbara guider för lokala myndigheter att följa NIS2-direktivet.
Deadline för implementering av NIS2 och juridiska konsekvenser
Europeiska unionens (EU) medlemsländer är skyldiga att införliva NIS2-direktivet i nationella genomförandetakter senast i Oktober 2024. Dessa akter kommer att vara rättsligt bindande, vilket kräver efterlevnad av direktivets krav för organisationer som faller inom dess tillämpningsområde.
Betona proaktiv riskhantering och incidenthantering
NIS2-direktivet står som ett bevis på EU:s åtagande att stärka cybersäkerheten över sina medlemsstater. Med betoning på proaktiv riskhantering och stränga krav på incidentrapportering strävar NIS2 efter att mildra de cybersäkerhetshot som vi står inför.
Att följa dessa direktiv skyddar inte bara kritisk infrastruktur utan främjar också ett säkrare samhälle.
Påverkade organisationer
Det befintliga NIS-direktivet täcker både samhällsviktiga tjänster och vissa digitala tjänster, utan att kräva att de senare klassificeras som samhällsviktiga. Dessa digitala tjänster innefattar bland annat internetbaserade marknadsplatser, sökmotorer och molntjänster. Enligt svensk lagstiftning, närmare bestämt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, är leverantörer av dessa tjänster skyldiga att snabbt rapportera incidenter som signifikant påverkar leveransen av en digital tjänst inom EU.
De tjänster som anses samhällskritiska är de som är avgörande för samhällets eller ekonomins funktion, som exempelvis:
- Bankverksamhet
- Transportsektorn
- Energisektorn
- Hälso- och sjukvården
- Digital infrastruktur
- Finansmarknadsinfrastruktur
- Leverans och distribution av dricksvatten
Dessa tjänster utgör en kritisk infrastruktur vars störning kan ha omfattande konsekvenser för både samhället och ekonomin.
Med NIS2-direktivet ser vi nu en utökad lista över sektorer som omfattas av förordningen. Med NIS2 utökas samhällskritiska tjänster till att även inkludera dessa sektorer:
- Offentlig förvaltning
- Tillverkning
- Avfallshantering
- Rymden
- Forskning
- Avloppsvatten
- Förvaltning av IKT-tjänster
- Post och budtjänster
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Digitala leverantörer
NIS2 införs i oktober 2024
Den 18 oktober 2024 träder NIS2-direktivet i kraft, vilket markerar en ny era för informationssäkerheten inom EU. Detta direktiv ställer högre krav på skyddet av personuppgifter och systemtillgänglighet, vilket innebär att företag och organisationer måste stärka sina försvar mot cyberhot. För att uppfylla dessa krav, måste berörda parter engagera sin personal på ett aktivt sätt, förbättra sina interna processer och implementera modern och säker teknik. Genom dessa åtgärder skapas en starkare infrastruktur för att skydda kritisk data och upprätthålla tjänsters kontinuitet. NIS2-direktivet är inte bara ett regelverk utan en uppmaning till proaktivt arbete för att säkra vårt digitala samhälles grundläggande funktioner.
För att fördjupa sig i hur företag kan använda IT Service Management Systems för att stärka sin cybersäkerhetsposition och säkerställa efterlevnad av NIS2 framåt, läs den kompletterande artikeln IT Service Management som uppfyller kraven för NIS2
André Hellman
IT Service Management Expert
→ Intervju med André