EU:s medlemsländer har fram till oktober 2024 att implementera det nya direktivet kring nätverks- och informationssäkerhet – NIS2. Detta direktiv medför ett antal viktiga förändringar inom cybersäkerhet. Exempelvis kommer tillämpningskraven stärkas och sanktioner kommer tillämpas i hela EU mot företag och organisationer som inte följer NIS2. En nyhet är att NIS2 berör företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering. De som inte följer NIS2 riskerar omfattande ekonomiska påföljder baserade på företagens globala omsättning.
Bedöm om du kommer att omfattas av NIS2-direktivet
Identifiera luckor i förhållande till direktivets krav
Utforma ett starkt ramverk för cybersäkerhet som inkluderar organisatoriska och tekniska åtgärder
Implementera både organisatoriska och tekniska åtgärder i din organisation
Ha övervakningsmekanismer på plats för att kontinuerligt bedöma dina åtgärder
NIS2-direktivet berör företagens och myndigheternas policies, processer och strategier kring cyber- och informationssäkerhet och fungerar som en bindande lag. Direktivet utökar kraven på cybersäkerhet och syftar till att effektivisera säkerhetsnivån mellan medlemsländerna. Företag och organisationer kommer att behöva hantera riskhantering av cyber, kontroll och övervakning samt incidenthantering.
EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för sektorer som livsmedelsproduktion, avfallshantering och övriga delar av försörjningskedjan. Fokus i NIS2-direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, även incidenter som kan skada eller hindra samhällsfunktionerna. Därför går omfattningen långt utöver traditionella kritiska infrastrukturorganisationer.
Exempelvis inom energisektorn, begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.
NIS2-direktivet skiljer mellan "väsentliga enheter" och "viktiga enheter" (se alla sektorer i tabellen nedan). Den största skillnaden mellan de två är att "viktiga enheter" drabbas av lägre ekonomiska påföljder och kommer att bli föremål för reaktiv tillsyn av myndigheter, i motsats till proaktiv tillsyn från myndigheterna som gäller för "väsentliga" enheter.
Energi – leverans, distribution, överföring och försäljning av el, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar | Väsentliga entiteter |
Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar) | Väsentliga entiteter |
Bank/finans – kredit, handel, marknad och infrastruktur | Väsentliga entiteter |
Hälsa – vårdgivare, forskningslaboratorier, läkemedel, tillverkning av medicintekniska produkter | Väsentliga entiteter |
Vatten – dricksvattenleverantörer och avloppsvattenoperatörer | Väsentliga entiteter |
Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster | Väsentliga entiteter |
Offentlig förvaltning på central och regional nivå | Väsentliga entiteter |
Rymd – markbaserade infrastrukturoperatörer | Väsentliga entiteter |
Leverantörer av post- och budtjänster | Viktiga entiteter |
Avfallshantering | Viktiga entiteter |
Kemikalier – produktion och distribution | Viktiga entiteter |
Livsmedel – distribution och produktion | Viktiga entiteter |
Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning | Viktiga entiteter |
Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar | Viktiga entiteter |
Forskningsorganisationer | Viktiga entiteter |