Vad är NIS2-direktivet och hur kommer det att påverka din organisation?

Sarah Hofmann
By: Sarah Hofmann Cybersäkerhet | 5 augusti

NIS2-direktivet är EU:s senaste direktiv som strävar efter att förbättra den kollektiva cybersäkerheten inom medlemsländerna. Direktivet trädde i kraft i januari 2023 och alla berörda organisationer förväntas uppfylla de nya kraven från och med den 18 oktober 2024. NIS2-direktivet ämnar säkerställa att alla de organisationer som fyller en viktig funktion för samhället har en hög cybersäkerhet.snivå I det här inlägget ger vi dig en sammanfattning av NIS2. Vad NIS2 är, vilka organisationer som berörs, vilka nya säkerhetskrav som ställs på dessa organisationer och vad de bör göra för att uppfylla de nya kraven. Vi ger dig även fyra steg som hjälper dig att komma igång med efterlevnad av Nis-lagen. Kort sagt får du reda på vad det hela handlar om, ifall direktivet berör din organisation och vad du i så fall bör göra. 

Innehåll

 

Vad är NIS2-direktivet?  

NIS2-direktivet är en ny EU-politik som alla medlemsländer och organisationer som tillhandahåller tjänster inom EU måste uppfylla senast den 18 oktober 2024. Syftet med NIS2 direktivet är i huvudsak att skydda väsentliga organisationer och infrastrukturer från cyberhot och att uppnå en hög gemensam säkerhetsnivå i hela EU.

För att uppnå detta mål fokuserar NIS2 på organisationer som tillhandahåller viktiga tjänster. Vi behöver dessa organisationer för att samhället ska fungera normalt, vilket innebär att eventuella störningar kan få stora och allvarliga konsekvenser för t.ex. den ekonomiska utvecklingen eller folkhälsan inom EU. Direktivet innehåller strängare krav på säkerhet, nya rapporteringsskyldigheter och utökade tillsynsåtgärder för en större omfattning av organisationer än det första NIS-direktivet.  

Kort sagt innebär NI2-direktivet nya säkerhetskrav för de företag och organisationer som vi förlitar oss mest på. 

Vilka omfattas av NIS2-lagen? NIS2 omfattar företag och organisationer som tillhandahåller tjänster som är väsentliga för samhälls- och ekonomisk verksamhet 

Varför NIS2 utvecklades

Vi anar att du redan vill dyka ner i allt som är nytt med NIS2. Men först vill vi ge dig lite bakgrundsinformation:

EU:s första cybersäkerhetspolitik - NIS-direktivet från 2016, var i behov av en uppdatering för att skydda EU mot nya cybersäkerhetshot. Under covid-19-pandemin upplevde världen en ökning av cyberattacker, vilket fick EU-kommissionen att föreslå ett nytt och förbättrat NIS2-direktiv.   

NIS2-direktivet fyller luckorna i det ursprungliga NIS-direktivet genom att lägga till nya kritiska tjänstesektorer, stärka säkerhetskraven, reglera säkerheten i leveranskedjan och öka rapporteringsskyldigheten och efterlevnaden.

I oktober 2024 kommer NIS2 att ersätta det ursprungliga NIS-direktivet. Målet är att NIS2 bättre ska förbereda leverantörer av samhällsviktiga tjänster för att hantera dagens cybersäkerhetsrisker.   

NIS2 kommer att ersätta NIS-direktivet. Det innebär att fler organisationer måste uppfylla strängare krav på cybersäkerhet   

Frågan är om din organisation anses som nödvändig för samhällelig och ekonomisk verksamhet?

Vi tycker nog alla att vår verksamhet är viktig - men i det här fallet måste vi se vad som står i NIS2-direktivet.  

 

Påverkar NIS2 din organisation?  

Det är nog frågan som alla företag undrar över just nu. 

NIS2 berör din organisation om du är verksam inom en av de sektorer som det ursprungliga NIS- direktivet omfattas av eller inom en av de sektorer som tillkommer med det nya direktivet.   

Om du är osäker på om NIS2 berör din organisation, oroa dig inte! Vi hjälper dig att ta reda på det i nästa avsnitt.

 

Det ursprungliga NIS-direktivet gäller organisationer inom följande sektorer:  

  • Sjukvård  
  • Digital infrastruktur  
  • Transport  
  • Vattenförsörjning  
  • Digitala tjänsteleverantörer  
  • Bank- och finansieringsrörelser  
  • Energi  

Det nya NIS2-direktivet omfattar 18 olika sektorer med delsektorer  

NIS2 använder många olika termer för att beskriva de sektorer som direktivet omfattar, så vi går igenom dem en efter en. Vi kommer att skippa det juridiska krånglet och berätta det du behöver veta.  

Låt oss först titta på alla de 18 sektorer som NIS2 omfattar. I NIS2-direktivet delas dessa sektorer in i två kategorier: mycket kritiska och kritiska. Vi återkommer till varför dessa kategorier är viktiga senare, men låt oss först ta reda på om din organisation ingår och i så fall var.  

 

Picture of the risk analysis template

 

Mycket kritiska enheter i NIS2-direktivet  

Följande 11 sektorer anses vara mycket kritiska för samhället enligt NIS2. För varje sektor har vi listat delsektorerna och vad de omfattar. Om du läser direktivet om NIS2 finns dessa sektorer förtecknade i bilaga 1. 

1. Energi

Elektricitet
  • Elleverantörer  
  • Systemansvariga för distributionssystem  
  • Systemansvariga för överföringssystem  
  • Producenter  
  • Utsedda elmarknadsoperatörer  
  • Marknadsaktörer som tillhandahåller tjänster för aggregering, efterfrågeflexibilitet eller energilagring  
  • Operatörer och förvaltare av en laddningsstation som tillhandahåller laddningstjänster till slutliga användare, inklusive i namn av och på uppdrag av en leverantör av mobilitetstjänster  
Fjärrvärme och fjärrkyla  
  • Operatörer av fjärrvärme eller fjärrkyla  
Olja  
  • Operatörer av rörledningar för oljeöverföring 
  • Operatörer av oljeproduktions-, raffinerings- och behandlingsanläggningar, lagring och överföring 
  • Centrala aktieägande enheter   
Gas  
  • Försörjningsföretag   
  • Operatörer av distributionssystem 
  • Systemansvariga för överföringssystem  
  • Systemansvariga för lagringssystem  
  • Systemansvariga för LNG-system  
  • Naturgasföretag  
  • Operatörer av anläggningar för raffinering och behandling av naturgas  
Väte 
  • Operatörer av produktion, lagring och överföring av vätgas  

2. Transport  

Luft  
  • Lufttrafikföretag som används för kommersiella ändamål  
  • Flygplatsers ledningsenheter, flygplatser och enheter som driver underordnade installationer på flygplatser  
  • Operatörer av trafikledningskontroll som tillhandahåller flygkontrolltjänster (ATC)   
Järnvägar  
  • Infrastrukturförvaltare  
  • Järnvägsföretag, inklusive operatörer av serviceanläggningar  
Vatten
  • Inlands-, sjö- och kusttransportföretag för passagerare och gods - med undantag för de enskilda fartyg som drivs av dessa företag  
  • Förvaltningsorgan för hamnar, inklusive deras hamnanläggningar och enheter som driver anläggningar och utrustning i hamnar.  
  • Operatörer av fartygstrafikservice (VTS)  
Vägar  
  • Vägmyndigheter med ansvar för trafikledningskontroll - med undantag för offentliga enheter för vilka trafikledning eller drift av intelligenta transportsystem är en icke väsentlig del av deras allmänna verksamhet  
  • Operatörer av intelligenta transportsystem  

3. Bankverksamhet  

  • Kreditinstitut   

4. Infrastrukturer för finansmarknaden  

  • Operatörer av handelsplatser  
  • Centrala motparter (CCP)  

5. Hälso- och sjukvård

  • Vårdgivare  
  • EU:s referenslaboratorier  
  • Enheter som bedriver forsknings- och utvecklingsverksamhet för läkemedel  
  • Enheter som tillverkar farmaceutiska basprodukter och farmaceutiska beredningar  
  • Enheter som tillverkar medicintekniska produkter som anses vara kritiska vid ett hot mot folkhälsan 

6. Dricksvatten

Leverantörer och distributörer av dricksvatten - med undantag för distributörer för vilka distribution av dricksvatten är en icke väsentlig del av deras allmänna verksamhet att distribuera andra råvaror och varor  

7. Avloppsvatten  

Företag som samlar in, omhändertar eller behandlar avloppsvatten från tätbebyggelse, hushållsavloppsvatten eller industriellt avloppsvatten - med undantag för företag för vilka insamling, omhändertagande eller behandling av avloppsvatten från tätbebyggelse, industriellt avloppsvatten eller hushållsavloppsvatten utgör en icke väsentlig del av den allmänna verksamheten  

8. Digital infrastruktur

  • Leverantörer av Internet Exchange Point.  
  • DNS-tjänsteleverantörer, exklusive operatörer av rotnamnsservrar  
  • Register för namn på toppdomäner  
  • Leverantörer av molntjänster  
  • Leverantörer av datacentertjänster  
  • Leverantörer av nätverk för innehållsleverans  
  • Leverantörer av förtroendetjänster  
  • Leverantörer av allmänna elektroniska kommunikationsnät  
  • Leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster  

9. Hantering av IKT-tjänster (företag-till-företag)

Leverantörer av hanterade tjänster och leverantörer av säkerhetstjänster  

10. Offentlig förvaltning

  • Enheter för offentlig förvaltning i centrala regeringar  
  • Offentlig förvaltning på regional nivå 
  • Medlemsländerna kan tillämpa NIS2 på: (a) enheter för offentlig förvaltning på lokal nivå, b) utbildningsinstitutioner, särskilt när de bedriver kritisk forskningsverksamhet  
  • Gäller inte offentliga förvaltningsenheter som bedriver verksamhet inom områdena nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning, inbegripet förebyggande, utredning, avslöjande av och åtal för brott  

11. Rymd

Operatörer av markbaserad infrastruktur - som ägs, förvaltas och drivs av stater eller av privata parter - som stöder tillhandahållandet av rymdbaserade tjänster - exklusive leverantörer av offentliga elektroniska kommunikationsnät  

Härnäst går vi igenom de övriga kritiska sektorer som listas i NIS2. Om din organisation redan var listad ovan kommer du inte att listas igen. 

 

Övriga kritiska sektorer i NIS2-direktivet 

I NIS2-direktivet definieras förutom de 11 väsentliga sektorer även 7 övriga kritiska sektorer. Du kan se dem här nedan, tillsammans med undersektorerna och beskrivningar av vilka organisationer som omfattas. Dessa finns för övrigt i bilaga 2 till NIS2-direktivet, om du vill fräscha upp din juridiska jargong. 

1. Post- och kurirtjänster  

Tillhandahållare av posttjänster, inklusive tillhandahållare av kurirtjänster  

2. Avfallshantering

Företag som bedriver avfallshantering - med undantag för företag för vilka avfallshantering inte är deras huvudsakliga ekonomiska verksamhet  

3. Tillverkning, produktion och distribution av kemikalier  

Företag som bedriver tillverkning av ämnen och distribution av ämnen eller blandningar samt företag som bedriver tillverkning av artiklar av ämnen eller blandningar  

4. Produktion, bearbetning och distribution av livsmedel  

Livsmedelsföretag som ägnar sig åt grossistförsäljning samt industriell produktion och bearbetning  

5. Tillverkning  

  • Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik  
  • Tillverkning av datorer, elektroniska och optiska produkter    
  • Tillverkning av elektrisk utrustning  
  • Tillverkning av maskiner och utrustning  
  • Tillverkning av motorfordon, släpfordon och påhängsvagnar  
  • Tillverkning av andra transportmedel  

6. Digitala leverantörer  

  • Tillhandahållare av marknadsplatser online  
  • Tillhandahållare av sökmotorer online 
  • Tillhandahållare av plattformar för sociala nätverkstjänster  

7. Forskning

Forskningsorganisationer - en enhet med det primära målet att bedriva tillämpad forskning eller experimentell utveckling och använda forskningsresultaten för kommersiella ändamål, men som inte omfattar utbildningsinstitutioner. 

Så om din organisation finns inom någon av de sektorer som anges ovan, oavsett om den tillhör kategorin mycket kritisk eller kritisk, så kan NIS2 gälla för dig.   

Så vad händer nu?

Tja, ett djupt andetag kan vara till hjälp. Skämt åsido. Dags att prata om ytterligare två kategorier av organisationer i NIS2.

 

Väsentliga vs. viktiga organisationer enligt NIS2  

Nu lägger vi till ytterligare ett lager av kategorier. NIS2 definierar två kategorier för organisationer: viktiga och väsentliga.   

Organisationer i båda kategorierna måste uppfylla samma säkerhetskrav. Skillnaden handlar om hur viktiga och väsentliga organisationer kommer att övervakas och bestraffas om de inte uppfyller kraven. För att ta reda på om din organisation anses vara väsentlig eller viktig handlar det främst om storlek. Härnäst kan du läsa om de exakta detaljerna. 

Väsentliga enheter  

  • Organisationer inom mycket kritiska sektorer (se ovan) med mer än 250 anställda, en årlig omsättning på mer än 50 miljoner euro eller en balansräkning på mer än 43 miljoner euro  
  • Oavsett storlek: tillhandahållare av betrodda tjänster, register för toppdomännamn och tillhandahållare av DNS-tjänster  
  • Leverantörer av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster med 50-250 anställda eller mer än 10 miljoner euro i intäkter  
  • Enheter inom offentlig förvaltning  
  • Alla andra mycket vikgtiga organisationer som är den enda leverantören av tjänsten i landet eller om avbrott i deras tjänst skulle kunna ha en betydande inverkan  

Väsentliga organisationer kan övervakas proaktivt för att säkerställa att de uppfyller kraven i NIS2-direktivet.  

Viktiga enheter   

Viktiga organisationer är i princip de kvarvarande som inte anses vara väsentliga.  

  • Alla övriga mycket kritiska eller kritiska organisationer som inte uppfyller kraven för väsentliga organisationer 

I praktiken innebär detta att organisationer inom de sektorer som ingår i NIS2-direktivet (se listan ovan) som är medelstora eller mindre (färre än 250 anställda, har en årlig omsättning på mindre än 50 miljoner euro eller en balansräkning på mindre än 43 miljoner euro).   

Små företag (färre än 50 anställda, intäkter på högst 10 miljoner euro) och mikroföretag (färre än 10 anställda, intäkter på högst 2 miljoner euro) är inte nödvändigtvis uteslutna från kraven i NIS2. De länder där de är verksamma kan inkludera dem om deras tjänster spelar en viktig roll i samhället.   

Viktiga organisationer övervakas "i efterhand", vilket innebär att de endast kommer att undersökas om myndigheterna får bevis på bristande efterlevnad.  

Puh - den svåra delen är över nu. Tack för att du hängde med oss! Nu när vi har fått alla komplicerade NIS2-detaljer ur vägen kan vi dyka in i vad NIS2 innebär för dig.  

  

Vad gäller om min organisation är etablerad utanför EU?

Inte i EU, inte ditt problem? Nej, riktigt så är det inte.   

Även om din organisation inte är belägen i EU måste du följa NIS2-direktivet om du erbjuder tjänster inom EU. NIS2 ger vissa regler om hur organisationer utanför EU ska gå tillväga. Enligt direktivet måste organisationer utanför EU som erbjuder tjänster inom EU utse en representant i ett av de länder där tjänsterna erbjuds. Representanten ansvarar sedan för att hantera organisationens arbete med att efterleva NIS2-direktivet, till exempel rapportering av säkerhetsincidenter. 

 

Vad händer om NIS2-direktivet inte gäller mig?  

Om det, nu när du har läst ovanstående avsnitt om branscher och storlek, verkar som att din organisation inte kommer att behöva följa NIS2-direktivet behöver du inte oroa dig. Du kommer inte att drabbas av några omedelbara böter eller behöva vidta några åtgärder för att uppfylla kraven.  

Men du kanske ändå ska överväga att bygga upp ditt säkerhetsarbete så att det överensstämmer med direktivet. Det finns några anledningar till det:  

  • NIS2 uppmuntrar länder att se till att även organisationer som inte omfattas av direktivet uppnår en hög nivå av cybersäkerhet genom att genomföra samma riskhanteringsåtgärder. 
  • De organisationer som omfattas av NIS2 är många, och dessa organisationer måste se till att även deras leverantörer är säkra. Så många företag kommer i slutändan att behöva följa NIS2-direktivet eftersom de företag de arbetar med gör det. 

I grund och botten verkar det som om riskhanterings- och cybersäkerhetsåtgärderna i NIS2 snabbt kommer att bli standard. Genom att proaktivt anpassa er säkerhet så att den omfattar de 10 grundläggande säkerhetsåtgärderna i NIS2 gör ni det enkelt för andra företag att samarbeta med er. Dessutom visar du dina kunder att din organisation använder säkra metoder och att de kan lita på dig.  

Så, nu när du har en uppfattning om NIS2 gäller för din organisation, låt oss prata om vad som krävs för att följa direktivet. Det viktigaste att veta är att det finns 10 säkerhetskrav och tidsfrister för rapportering av säkerhetsincidenter. Låt oss sätta igång! 

 

NIS2-direktivet har tre allmänna mål   

De tre huvudmålen med NIS2 är att öka motståndskraften mot cyberattacker hos leverantörer av samhällsviktiga tjänster, effektivisera motståndskraften mot cyberattacker genom strängare säkerhetskrav och påföljder för överträdelser samt förbättra EU:s beredskap för att hantera cyberattacker. NIS2 uppfyller detta med hjälp av nya riktlinjer för t.ex. säkerhet och ansvarsskyldighet.    

 

Det finns fyra områden med nya krav i NIS2-direktivet   

1. Riskhantering  

I hela NIS2-direktivet är hantering av cybersäkerhetsrisker ett huvudtema. Enligt NIS2-direktivet ska organisationer använda en strategi som beaktar alla typer av risker, t.ex. mänskliga missatg, systemfel, illasinnade aktörer, naturkatastrofer samt systemens fysiska och miljömässiga säkerhet.  

2. Företagets ansvar  

NIS2 håller chefer ansvariga på nya sätt. Det krävs att ledningen övervakar, godkänner, utbildas och hanterar risker för organisationens cybersäkerhet. Om de underlåter att göra detta kan de hållas personligt ansvariga genom åtgärder som avstängning från ledande befattningar.  

3. Krav på rapportering  

Det nya direktivet innehåller detaljerade krav för rapportering av säkerhetsincidenter, som vi diskuterar lite längre fram. Men redan nu är det bra att veta att organisationer måste ha processer på plats för att snabbt rapportera säkerhetsincidenter.

4. Kontinuitet i verksamheten

Eftersom NIS2 gäller för leverantörer av samhällsviktiga tjänster är det viktigt att dessa organisationer har en plan för hur de ska kunna upprätthålla sina tjänster om de råkar ut för en allvarlig säkerhetsincident. I planen bör till exempel ingå systemåterställning, nödrutiner och inrättande av en krisgrupp.   

Nu ska vi gå in på det roliga - vad NIS2 faktiskt kräver och vad som kan hända om du inte uppfyller kraven. 

 

Krav för NIS2-direktivet 

NIS2-lagen innehåller krav på vilka säkerhetsåtgärder organisationer absolut måste vidta, tidsfrister för rapportering av säkerhetsincidenter och hur organisationer straffas om de inte uppfyller kraven.   

10 grundläggande säkerhetsåtgärder som krävs enligt NIS2  

Enligt NIS2 måste organisationer vidta lämpliga och proportionerliga riskhanteringsåtgärder för att förhindra säkerhetsincidenter och minimera deras effekter.

NIS2 innehåller en lista med 10 grundläggande åtgärder som alla organisationer måste vidta. Förbered din checklista och se hur många åtgärder du redan har vidtagit! 

  1. Riktlinjer för riskanalys och säkerhet i informationssystem   
  2. Hantering av incidenter
  3. Kontinuitet i verksamheten, t.ex. säkerhetskopiering och katastrofåterställning, samt krishantering.   
  4. Säkerhet i leveranskedjan, inklusive säkerhetsrelaterade frågor som rör förhållandet mellan varje verksamhet och dess direkta leverantörer eller tjänsteleverantörer.   
  5. Säkerhet vid anskaffning, utveckling och underhåll av nätverk och informationssystem, inklusive hantering och offentliggörande av sårbarheter.    
  6. Riktlinjer och processer för att bedöma hur effektiva åtgärderna för hantering av cybersäkerhetsrisker är.   
  7. Säker grundläggande praxis för cybersäkerhet och utbildning i cybersäkerhet    
  8. Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering   
  9. Säkerhet för mänskliga resurser, policyer för behörighetskontroll och hantering av tillgångar    
  10. Användning av multifaktorautentisering eller lösningar för kontinuerlig autentisering, säker röst-, video- och textkommunikation samt säkrade system för nödkommunikation inom organisationen - i förekommande fall  

I NIS2-lagen betonas vikten av god cybersäkerhetspraxis och medvetenhet om cybersäkerhet. God cybersäkerhetspraxis som nämns i NIS2-direktivet är: uppdateringar av mjuk- och hårdvara, starka löseord, hantering av nya installationer, åtkomstkontroll och säkerhet för onlineapplikationer.   

Direktivet prioriterar också säkerhet i leveranskedjan. Enligt direktivet måste de berörda företagen anpassa sina säkerhetsåtgärder för varje direktleverantör och bedöma den övergripande säkerhetsnivån hos alla leverantörer. 

Lyckligtvis är de flesta av dessa krav inte nya, och många företag arbetar förhoppningsvis redan med dessa områden. NIS2-Kraven går också hand i hand med GDPR eftersom de båda strävar efter att skydda människor och data.  

Nya rapporteringskrav  

Om du råkar ut för en säkerhetsincident måste du meddela rätt personer. NIS2-direktivet ger tydliga instruktioner för hur organisationer ska rapportera säkerhetsincidenter.   

  • Inom 24 timmar av att du fått kännedom om en incident: skicka en tidig varning till CSIRT-enheten (Computer Security Incident Response Team) eller den nationella myndigheten. Om möjligt bör det framgå om man tror att incidenten orsakades av skadligt eller olagligt beteende och om den kommer att få gränsöverskridande konsekvenser.  
  • Inom 72 timmar av att du har blivit medveten om en incident: lämna in en incidentanmälan. Den bör innehålla en uppdatering av den tidiga varningen med en inledande bedömning av incidenten, dess allvarlighetsgrad och konsekvenser samt eventuella tecken på intrång.   
  • Inom 1 månad av att du har fått kännedom om en incident: lämna in en slutrapport. Den ska innehålla en detaljerad beskrivning över incidenten, inklusive dess allvarlighetsgrad och inverkan, vad som orsakade den, vidtagna och pågående riskreducerande åtgärder samt den internationella inverkan. 

Förhoppningsvis kommer du inte att behöva använda den här delen av vår NIS2-guide. Men den finns här om du skulle behöva den. 

Högre sanktioner för NIS2-överträdelser och ökad tillsyn  

NIS2-direktivet ser allvarligt på de företag som inte följer reglerna. 

I direktivet anges de lägsta bötesbelopp som ska betalas när en organisation inte uppfyller kraven på hantering av säkerhetsrisker eller rapporteringskraven i NIS2.  

Väsentliga enheter kan dömas till böter på minst 10 000 euro eller 2 % av den totala globala omsättningen för föregående år( beroende på vilket belopp som är högst). Detta är samma bötesbelopp som ges för mindre allvarliga överträdelser av GDPR.

Viktiga enheter kan dömas till böter på minst 7 000 euro eller 1,4 % av de totala globala intäkterna för föregående år, beroende på vilket belopp som är högst.  

Organisationer kan förvänta sig att bli övervakade genom kontroller, inspektioner på plats och begäran om information/dokumentation om efterlevnad av NIS2. Om en överträdelse av NIS2 upptäcks kan organisationen få böter, en icke-monetär sanktion som t.ex. en order om efterlevnad, eller så kan ledningen hållas ansvarig.   

För det mesta kommer organisationer att övervakas av det land där de är etablerade - med vissa undantag för organisationer inom sektorn för digital infrastruktur. 

 

Så vad innebär NIS2-direktivet för din organisation?   

Organisationer inom de sektorer som omfattas av NIS2-direktivet kommer att vara skyldiga att följa de nya säkerhetsåtgärderna senast den 18 oktober 2024. För en del av dessa sektorer kommer kommissionen att publicera ytterligare information om de tekniska kraven senast den 17 oktober 2024.  

Om din organisation omfattas av NIS2-direktivet är det alltså hög tid att komma igång.   

Om din organisation inte omfattas av NIS2-direktivet kan du förmodligen slappna av lite. Fundera på om företag som du samarbetar med kommer att behöva följa NIS2-direktivet och vad det kan innebära för din organisation. Och fundera på hur du kan implementera de nya säkerhetskraven ändå, eftersom det kommer att ge dig en fördel senare.   

 

Våra rekommendationer för din organisation   

Innan vi går vidare vill vi ge dig fyra steg som hjälper dig att komma igång med ditt NIS2-arbete.  

Steg 1: Ta reda på om din organisation behöver följa NIS2-direktivet  

Du kan göra detta genom att granska sektorerna och storleksbegränsningarna för NIS2. Om du måste följa NIS2-direktivet kan du gå till nästa steg, riskbedömning. 

Steg 2: Gör en riskbedömning  

En riskbedömning ger dig en översikt över alla potentiella säkerhetsrisker som din organisation kan drabbas av, hur sannolika de är, hur stor påverkan de skulle ha på din organisation och vad du redan gör för att hantera dessa risker.

NIS2 kräver en riskhanteringsprocess av det här slaget, och du kan komma igång med den genom att använda vår kostnadsfria mall för riskanalys och vår guide till hur du fyller i den. En riskanalys kan hjälpa dig att avgöra var säkerhetsluckorna finns och vad du behöver göra för att åtgärda dem.  

NIS2-direktivet kräver även att organisationer har en IT-säkerhetspolicy. Du är välkommen att använda vår kostnadsfria mall och guide för IT-säkerhetspolicyn 

Smart CTA IT-security-policy SE

Steg 3: Implementera säkerhetsåtgärder   

När du har identifierat vilka säkerhetsåtgärder du behöver vidta är det dags att komma igång med förändringar. Ett ramverk som kan hjälpa dig med detta är PDCA-cykeln (Plan-Do-Check-Act). Den ger dig ett strukturerat sätt att införa nya åtgärder och mäta hur väl de har fungerat. Många organisationer använder den för att kontinuerligt förbättra sin cybersäkerhet. Du kan läsa mer om hur du använder PDCA-cykeln här

När du inför nya säkerhetsåtgärder bör du kontrollera att de uppfyller de 10 grundläggande säkerhetskrav som anges i NIS2-direktivet. 

Du bör också se över din leveranskedja och dina leverantörsrelationer så att du kan säkerställa att även dessa är säkra. Det är även viktigt att de databehandlare som du samarbetar med har en hög säkerhetsnivå för att säkerställa en säker leveranskedja.    

ISO 22301 kan vägleda ert arbete med kontinuitetsplanering och säkerhet i leveranskedjan.   

Steg 4: Utvärdera hur effektiva dessa åtgärder är  

Om dina säkerhetsåtgärder inte är tillräckliga eller inte fungerade som du förväntade dig är det dags att åtgärda detta. Det är bra att börja tidigt med NIS2-arbetet så att ni har tid att göra justeringar, innan direktivet träder i kraft i oktober 2024.

 

Utbildning i säkerhetsmedvetenhet enligt NIS2-direktivet  

Eftersom vårt mål på CyberPilot är att erbjuda en högkvalitativ utbildning i säkerhetsmedvetande har vi naturligtvis koll på kraven i NIS2-direktivet.

Det nya direktivet kräver säkerhetsreducerande åtgärder, vilket kan omfatta att utbilda dina medarbetare i att upptäcka skadliga e-postmeddelanden med hjälp av nätfisketester.  

NIS2-direktivet kräver också utbildning i säkerhetsmedvetenhet - och att öka säkerhetsmedvetandet kommer att vara ett fokusområde för varje lands nationella cybersäkerhetsstrategi.

Utbildning inom: cybersäkerhet, risker, cybersäkerhetskunskaper, medvetenhet och god cybersed för både ledning och medarbetare är ett prioriterat område i NIS2-lagen. Vår utbildning i säkerhetsmedvetenhet är ett sätt för oss på CyberPilot att hjälpa dig att anpassa dig till NIS2.  

 

God praxis för cybersäkerhet enligt NIS2-direktivet  

Att bygga goda cybersäkerhetsvanor och en stark säkerhetskultur nämns också i NIS2-direktivet. En cyberorienterad kultur och medarbetare med goda digitala vanor arbetar hand i hand för att öka er övergripande säkerhet. Ett enkelt sätt att hålla säkerheten på agendan är att använda visuella påminnelser på kontoret. Kolla in dessa gratis affischer med cybersäkerhetstips som gör säkerhet till något roligt. Du kan också läsa denna guide om hur du skapar en stark säkerhetskultur i din organisation 

Är du intresserad av att läsa mer om NIS2-direktivet?

Europeiska kommissionen har svarat på några vanliga frågor som du kan ta del av här. Vi hjälper er gärna med övergången till NIS2-överensstämmelse. Kontakta oss så berättar vi mer!