NIS2 direktiv

NIS2 - ett uppdaterat EU-direktiv för stärkt cybersäkerhet

Vi reder ut EU-direktivet NIS2 och rekommenderar åtgärder du bör ta inför när det träder i kraft i oktober 2024.

Kontakta oss

Vad är NIS och NIS2?

NIS-direktivet (Network and Information Security Directive), som trädde i kraft 2018, var EU:s första försök att harmonisera cybersäkerhetskraven för företag som tillhandahåller viktiga samhällsfunktioner. Med NIS2, som blir obligatoriskt 2024, skärps kraven ytterligare. Båda direktiven syftar till att förebygga cyberattacker och minimera konsekvenser genom att kräva att företag genomför riskanalyser, vidtar lämpliga säkerhetsåtgärder och rapporterar incidenter. Till skillnad från GDPR, som reglerar hanteringen av personuppgifter, fokuserar NIS på skyddet av de system och nätverk som dessa uppgifter lagras och överförs i.

NIS2 innebär strängare krav och tydligare riktlinjer för att:

  • Förbättra organisationers cyberförsvar: Att bygga robusta system och rutiner som effektivt kan stå emot cyberattacker.
  • Främja informationsdelning: Underlätta samarbete och informationsutbyte mellan myndigheter, företag, organisationer och experter.
  • Gemensamma krav och riktlinjer för cybersäkerhet.

Vilka är de viktigaste förändringarna i NIS2?

NIS2 ställer strängare krav på organisationer inom de berörda sektorerna. Några av de viktigaste förändringarna är:

  • Skyldighet att genomföra riskanalyser och vidta lämpliga säkerhetsåtgärder
  • Skyldighet att rapportera cybersäkerhetsincidenter till myndigheterna
  • Strängare krav på leverantörer av IT-tjänster
  • Ökade befogenheter för tillsynsmyndigheter

Vilka företag och organisationer berör NIS2?


NIS2-direktivet kommer att omfatta alla stora och medelstora företag som är verksamma inom sektorer som anses vara väsentliga eller viktiga för samhället. Detta innebär att dessa företag måste förbättra sin cybersäkerhet, genomföra riskbedömningar och rapportera incidenter till berörda myndigheter. Mer specifikt vilka branscher och sektorer som omfattas kan du läsa om längre ner.

Enligt direktivet definierar man stora företag som verksamheter med fler än 250 anställda och en årlig omsättning på minst 50 miljoner euro. Medelstora företag definieras som verksamheter med 50 till 249 anställda och en årlig omsättning som understiger 10 miljoner euro.

Vissa verksamheter, såsom leverantörer av DNS-tjänster, är undantagna från EU-direktivets kriterier gällande antalet anställda och omsättning. Undantagen finns specificerade i direktivet. 

Förutom NIS2 måste aktörer inom bank- och finanssektorn även anpassa sina verksamheter till den nya EU-förordningen DORA (Digital Operational Resilience Act) som träder i kraft i början av 2025. 

Bakgrund NIS2

Viktiga sektorer:

  • Energi
  • Transport
  • Vatten
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Digital infrastruktur

Dessa sektorer anses viktigare än andra då de utgör en grund för samhällets beredskap.

5 åtgärder för att följa NIS2

  1. Incidentrapportering: Företag måste rapportera kritiska cybersäkerhetsincidenter inom 24 timmar till tillsynsmyndigheten, och lämna en sammanfattning och hantering till berörda myndigheter inom 72 timmar.
  2. Riskhantering: Organisationer måste genomföra regelbundna riskbedömningar och vidta lämpliga åtgärder för att hantera cybersäkerhetsrisker.
  3. Informationssäkerhet & utbildning: Krav på att ha tekniska och strategiska åtgärder för att skydda sina system och data. Ledningen måste utbildas inom området och kan bli personligt ansvariga för incidenter. Vi rekommenderar att ha kontinuerlig utbildning för hela personalstyrkan, eftersom cyberkriminella ofta riktar in sig mot alla anställda i organisationen och ständigt hittar nya vägar. 
  4. Incidentrespons: Företag ska ha en plan för att hantera incidenter och kunna återställa sin verksamhet.
  5. Leverantörsansvar: Man måste som företag vidta åtgärder för att hantera cybersäkerhetsrisker i sin leverantörskedja.

Sharp hjälper er med IT-säkerheten och ser till att ni har ”best practice” i linje med NIS2. Kontakta oss för mer information. 

Kontakta oss
NIS2 direktiv

Frågor & svar om NIS2

Här hittar du svar på vanliga frågor om NIS2-direktivet. 

När börjar NIS2 att gälla?

Enligt svensk lag ska NIS2 vara implementerat senast den 18 oktober 2024, till dess måste berörda företag ha anpassat sina verksamheter. 

Vad händer om man inte följer NIS2?

Precis som med GDPR kan man enligt lag ålägga verksamheter böter för att inte följa direktivet. Ett företag eller organisation kan bli skyldigt upp till 10 miljoner euro eller 2 % av företagets årliga globala omsättning. 

Vem omfattas av NIS2?

NIS2 omfattar framför allt samhällskritiska verksamheter men påverkar även indirekt företag som är underleverantörer. De grundläggande riktlinjerna för NIS2 är relevanta för alla organisationer, oavsett storlek eller bransch. Vi rekommenderar därför att alla företag försöker följa direktivet även om de inte omfattas direkt. 
 

Sektorer som omfattas av NIS2:


•    Energi: Elektricitet, fjärrvärme och fjärrkyla, olja, gas och vätgas.
•    Transport: Luft-, järnvägs-, vatten- och vägtrafik.
•    Bankverksamhet och finansmarknadsinfrastruktur: Banker, börser och finansiella institutioner.
•    Hälsa: Sjukhus, vårdcentraler och tillverkare av läkemedel och vacciner.
•    Dricksvatten och avloppsvatten: Leverantörer av vatten- och avloppstjänster.
•    Digital infrastruktur: Internetutbytespunkter, DNS-leverantörer, toppdomänregister, molntjänstleverantörer, datacenterleverantörer, innehållsleveransnätverk och betrodda tjänstetillhandahållare.
•    Telekommunikation: Leverantörer av allmänna elektroniska kommunikationsnät och tjänster.
•    IKT-tjänster: Hanterade tjänsteleverantörer och leverantörer av förvaltade säkerhetstjänster.
•    Offentlig förvaltning: Statliga myndigheter och institutioner.
•    Rymden: Organisationer som bedriver rymdverksamhet.
•    Post- och budtjänster: Postoperatörer och budfirmor.
•    Avfallshantering: Företag som hanterar och transporterar avfall.
•    Kemikalier: Tillverkare och distributörer av kemikalier.
•    Livsmedel: Tillverkare och distributörer av livsmedel.
•    Medicintekniska produkter: Tillverkare av medicintekniska produkter.
•    Tillverkningsindustri: Tillverkare av datorer, elektronik, maskiner, fordon och annan transportutrustning.
•    Digitala plattformar: Onlinemarknadsplatser, sökmotorer och plattformar för sociala nätverkstjänster.
•    Forskning: Forskningsorganisationer inom områden som kan ha en betydande inverkan på samhället eller ekonomin.

Det är viktigt att notera att detta inte är en uttömmande lista. Ytterligare sektorer kan omfattas av NIS2-direktivet beroende på deras specifika verksamhet och den potentiella risken för cybersäkerhetsincidenter.