NIS-direktiven syftar till att skapa en hög gemensam säkerhet avseende informations- och it-säkerhet inom EU. Det första direktivet antogs 2016. Sedan dess har informations- och nätverkssystem blivit än mer centrala och nödvändiga för att såväl människors vardagsliv, näringsliv och grundläggande samhällsfunktioner ska fungera. Samtidigt har också hotbilden mot dessa system höjts, och incidenter har både ökat och blivit mer omfattande och sofistikerade. Genom att fastställa tydliga regler och krav för cybersäkerhet bidrar NIS2-direktivet till att skydda kritisk infrastruktur och främja en trygg digital miljö för företag och medborgare i EU.
NIS2 medför ett antal viktiga förändringar inom cybersäkerhet. Exempelvis kommer kraven på riskhanteringsåtgärder att höjas, och sanktioner kommer tillämpas i hela EU mot företag och organisationer som inte följer NIS2. En nyhet är att NIS2 berör företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering. De som inte följer NIS2 riskerar omfattande ekonomiska påföljder baserade på företagens globala omsättning.
Det nya direktivet kommer att implementeras som lag i Sverige, Cyberäkerhetslagen, och förväntas träda i kraft den 1 januari 2025.
För att förbereda hur NIS2-direktivet ska införlivas i Sverige har det genomförts en statlig utredning, SOU 2024:18. Utredningen föreslår att den nuvarande lagen upphävs och ersätts av en ny lag: Cybersäkerhetslagen. PwC:s jurister har sammanfattat lagförslaget. Läs mer om hur förslaget påverkar din verksamhet.
Ladda ner sammanfattningen
Vår rekommendation är att NIS2-direktivet bör ses som en möjlighet att förbättra eller effektivisera er cybersäkerhet, oavsett var ni befinner er när det gäller mognad av er digitala och operativa motståndskraft.
Vi har sammanfattat en guide till NIS2 som hjälper dig att komma igång. Ladda ner och läs! Kontakta oss på PwC för diskussion.
"Effektivitet är avgörande för en lyckad cyberstrategi och för att säkerställa efterlevnad av NIS2-kraven."
Bedöm om du kommer att omfattas av NIS2-direktivet
Identifiera luckor i förhållande till direktivets krav
Utforma ett starkt ramverk för cybersäkerhet som inkluderar organisatoriska och tekniska åtgärder
Implementera både organisatoriska och tekniska åtgärder i din organisation
Ha övervakningsmekanismer på plats för att kontinuerligt bedöma dina åtgärder
NIS2-direktivet berör företagens och myndigheternas policies, processer och strategier kring cyber- och informationssäkerhet och fungerar som en bindande lag. Direktivet utökar kraven på cybersäkerhet och syftar till att effektivisera säkerhetsnivån mellan medlemsländerna. Företag och organisationer kommer att behöva hantera riskhantering av cyber, kontroll och övervakning samt incidenthantering.
EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för sektorer som livsmedelsproduktion, avfallshantering och övriga delar av försörjningskedjan. Fokus i NIS2-direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, även incidenter som kan skada eller hindra samhällsfunktionerna. Därför går omfattningen långt utöver traditionella kritiska infrastrukturorganisationer.
Exempelvis inom energisektorn, begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.
NIS2-direktivet skiljer mellan "väsentliga sektorer" och "viktiga sektorer" (se alla sektorer i tabellen nedan). Den största skillnaden mellan de två är att "viktiga sektorer" drabbas av lägre ekonomiska påföljder och kommer att bli föremål för reaktiv tillsyn av myndigheter, i motsats till proaktiv tillsyn från myndigheterna som gäller för "väsentliga" sektorer.
Marie Strömberg
Director, rådgivare IT Governance & Cyber Security, PwC Sverige
Tel 0733-69 45 63