NIS2-direktivet – så påverkas du

Vad innebär NIS2 och förslaget till nya cybersäkerhetslagen?

NIS-direktiven syftar till att skapa en hög gemensam säkerhet avseende informations- och it-säkerhet inom EU. Det första direktivet antogs 2016. Sedan dess har informations- och nätverkssystem blivit än mer centrala och nödvändiga för att såväl människors vardagsliv, näringsliv och grundläggande samhällsfunktioner ska fungera. Samtidigt har också hotbilden mot dessa system höjts, och incidenter har både ökat och blivit mer omfattande och sofistikerade. Genom att fastställa tydliga regler och krav för cybersäkerhet bidrar NIS2-direktivet till att skydda kritisk infrastruktur och främja en trygg digital miljö för företag och medborgare i EU.

NIS2 medför ett antal viktiga förändringar inom cybersäkerhet. Exempelvis kommer kraven på riskhanteringsåtgärder att höjas, och sanktioner kommer tillämpas i hela EU mot företag och organisationer som inte följer NIS2. En nyhet är att NIS2 berör företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering. De som inte följer NIS2 riskerar omfattande ekonomiska påföljder baserade på företagens globala omsättning.

Det nya direktivet kommer att implementeras som lag i Sverige, cyberäkerhetslagen, och förväntas träda i kraft någon gång under 2025.

PwC:s experter Henrik Petré, ansvarig Cyber Security, och Charlotte Arnell, rådgivare digitaliseringsjuridik, som förklarar direktivets omfattning, nödvändiga åtgärder för efterlevnad och dess betydelse för att stärka cybersäkerheten. Lär dig mer om hur NIS2 kan ge konkurrensfördelar och bidra till ökat affärsvärd.
Se webbinariet

Vill du ha hjälp med regelverket NIS2?

Vår rekommendation är att NIS2-direktivet bör ses som en möjlighet att förbättra eller effektivisera er cybersäkerhet, oavsett var ni befinner er när det gäller mognad av er digitala och operativa motståndskraft.

Vi har sammanfattat en guide till NIS2 som hjälper dig att komma igång. Ladda ner och läs! Kontakta oss på PwC för diskussion.

Så förbereder du dig inför NIS2-direktivet

Bedöm om du kommer att omfattas av NIS2-direktivet
Identifiera luckor i förhållande till direktivets krav
Utforma ett starkt ramverk för cybersäkerhet som inkluderar organisatoriska och tekniska åtgärder
Implementera både organisatoriska och tekniska åtgärder i din organisation
Ha övervakningsmekanismer på plats för att kontinuerligt bedöma dina åtgärder

Kontakta oss

Kontakta oss så hjälper vi dig ta reda på nästa steg.

NIS2-direktivet utökar cybersäkerhetskraven

NIS2-direktivet berör företagens och myndigheternas policies, processer och strategier kring cyber- och informationssäkerhet och fungerar som en bindande lag. Direktivet utökar kraven på cybersäkerhet och syftar till att effektivisera säkerhetsnivån mellan medlemsländerna. Företag och organisationer kommer att behöva hantera riskhantering av cyber, kontroll och övervakning samt incidenthantering.

NIS2 påverkar fler företag och samhällsfunktioner

EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för sektorer som livsmedelsproduktion, avfallshantering och övriga delar av försörjningskedjan. Fokus i NIS2-direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, även incidenter som kan skada eller hindra samhällsfunktionerna. Därför går omfattningen långt utöver traditionella kritiska infrastrukturorganisationer.

Exempelvis inom energisektorn, begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.

Väsentliga sektorer och viktiga sektorer

NIS2-direktivet skiljer mellan "väsentliga sektorer" och "viktiga sektorer" (se alla sektorer i tabellen nedan). Den största skillnaden mellan de två är att "viktiga sektorer" drabbas av lägre ekonomiska påföljder och kommer att bli föremål för reaktiv tillsyn av myndigheter, i motsats till proaktiv tillsyn från myndigheterna som gäller för "väsentliga" sektorer.

Vilka omfattas av NIS2?

Företag eller organisationer som sysselsätter fler än 49 personer
Företag eller organisationer med omsättning eller balansomslutning som överstiger 10 miljoner euro per år och tillhör någon av sektorerna som listas nedan.
De allra flesta statliga myndigheter, regioner och kommuner (oavsett storlek).

Energi – leverans, distribution, överföring och försäljning av el, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar

Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar)

Bank/finans – kredit, handel, marknad och infrastruktur

Hälsa – vårdgivare, forskningslaboratorier, läkemedel, tillverkning av medicintekniska produkter

Vatten – dricksvattenleverantörer och avloppsvattenoperatörer

Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster

Offentlig förvaltning på central och regional nivå

Rymd – markbaserade infrastrukturoperatörer

Leverantörer av post- och budtjänster

Avfallshantering

Kemikalier – produktion och distribution

Livsmedel – distribution och produktion

Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning

Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar

Forskningsorganisationer

PwC-podden: Cybersäkerhet och NIS2

Hur påverkas ditt företag eller organisation av NIS2? Vilka förändringar kan du behöva göra? Våra gästande experter, Marie Strömberg och Henrik Petré, reder ut begreppen.

Läs mer om podden här