NIS2-direktivet - vad innebär det?

Lena Graungaard Lindahl 25 september, 2022

Uppdateringar:

2 maj -2023: En statlig utredning har tillsatts som ska utreda och föreslå de anpassningar av svensk lag som är nödvändiga för implementeringen av NIS2-direktivet. Utredningen ska bland annat föreslå hur identifieringen av, och krav på, entiteter som omfattas av direktivet ska regleras samt ta ställning till om kommuner, universitet och högskolor ska omfattas av regleringen. Ytterligare exempel på vad utredningen ska analysera är hur kraven på riskhanteringsåtgärder och incidentrapportering ska implementeras samt vilka befogenheter tillsynsmyndigheterna bör ha i fråga om tillsyn och sanktioner. Utredningen ska redovisa sina resultat senast den 23 februari 2024.
14 dec -2022: I december 2022 publicerades NIS2 direktivet i EU:s officiella tidning som ”Directive (EU) 2022/2555”. Senast 17 oktober 2024 måste samtliga av EU:s medlemsstater lagstiftat i enlighet med direktivet och ska efterlevas
12 nov -2022: Den 10 november 2022 röstade EU-parlamentet igenom NIS2-direktivet. Nu behövs ett slutligt godkännande av EU-rådet innan direktivet kan appliceras på medlemsländerna. Efter godkännande förväntas medlemsländer ha upp till 21 månader på sig att inkludera NI2 i sin lagstiftning.

Introduktion

NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Den 16 december 2020 presenterade Europeiska kommissionen ett nytt ”NIS2-direktiv”, ibland benämnt som enbart ”NIS2”. Direktivets syfte är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet

NIS förkortning
The Directive on security of Network and Information Systems

Bakgrund

2018, ett nytt direktiv träder i kraft

Det första NIS-direktivet trädde i kraft 2018 med syftet att höja den gemensamma cybersäkerhetsnivån för EU:s medlemsstater. Det gjorde man genom att ställa krav på säkerheten i nätverk och informationssystem i de tjänster som i största mån kunde påverka människors vardagliga liv och hälsa. Kommissionens nya NIS2-direktiv trädde i kraft i början av 2023, och bygger vidare på de cybersäkerhetsmål som fastställts i det ursprungliga NIS-direktivet och inför nya åtgärder för att stärka cybersäkerheten inom EU.

Leverantörer av samhällsviktiga verksamheter och vissa digitala tjänster som omfattas av direktivet:

  • Bankverksamhet
  • Digital infrastruktur
  • Energi (elektricitet, olja, gas)
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorer
  • Leverans och distribution av dricksvatten
  • Transport (lufttransport, järnvägstransport, sjöfart, vägtransport)

Det ursprungliga NIS-direktivet kan summeras i sex tvingande åtgärdspunkter:

  • Utse och anmäl en företrädare till respektive verksamhets tillsynsmyndighet.
  • Genomför en årlig riskanalys som ska ligga till grund för åtgärdsplan och säkerhetsåtgärder.
  • Säkerställ ett systematiskt och riskbaserat informationssäkerhetsarbete kopplat till de nätverk- och informationssystem som används.
  • Genomför tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten.
  • Vidta lämpliga åtgärder för att minimera och förebygga verkning av incidenter som påverkar nätverk- och informationssystem.
  • Rapportera utan onödigt dröjsmål incidenter med betydande inverkan.

Du kan läsa mer om NIS-direktivet här: https://www.secify.com/konsulttjanster/nis-direktivet/

Skillnaden mellan NIS och NIS2

Vad innebär NIS2 direktivet?

Europeiska kommissionens NIS2-direktiv, eller Network and Information Security Directive, är en lagstiftning inom Europeiska Unionen som syftar till att förbättra cybersäkerheten och öka den digitala motståndskraften hos medlemsstaterna. Syftet med NIS2-direktivet är att skapa en hög gemensam nivå av säkerhet för nätverk och informationssystem inom unionen. Detta uppnås genom att ställa krav på viktiga tjänsteleverantörer och digitala tjänsteleverantörer att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina nätverk och informationssystem.
De största förändringarna består i:

Krav på ökad informationssäkerhet berör fler tjänster och verksamheter

Utöver de som redan presenterats i NIS-direktivet tillkommer dessa:

  • Digitala leverantörer (sociala medier, sökmotorer, molnleverantörer mm)
  • Avloppshantering
  • Avfallshantering
  • Fjärrvärme eller fjärrkyla, vätgas
  • Livsmedel (produktion, bearbetning mm)
  • Offentlig förvaltning (gäller statliga myndigheter, om regioner och kommuner omfattas är upp till medlemsstaterna själva att bestämma)
  • Tillverkningsindustrin (bilindustrin, medicintekniska produkter mm)
  • Postverksamhet
  • Rymdverksamhet

NIS2-direktivet inkluderar även krav på säkerhet i leveranskedjan, alltså berörs även berörda verksamheters leverantörer och underleverantörer.

Högre krav på rapportering och säkerhet samt minskning av skillnader mellan sektorer som omfattas av direktivet

Detta innebär exempelvis:

  • Utformning av strategier för kontinuerlig riskanalys av informationssystemens säkerhet.
  • Utarbetning av en incidenthanteringsplan och beredskaps- och affärskontinuitetsplan.
  • Kontroll av säkerhet i hela leverantörskedjan.
  • Säkerhet vid inköp, utveckling och underhåll av nätverk- och informationssystem.
  • Användning av kryptering.

Det nya direktivet föreslår även tydligare riktlinjer för vad som ska vara med i incidentrapporteringen. I direktivet finns även krav på utbildning och övning på alla nivåer inom verksamheten för att öka förståelsen avseende risker och utmaningar. Tillsynsåtgärder och efterlevnadskrav är även striktare.

Liksom i NIS-direktivet har berörda 24 h på sig från att en incident upptäckts att rapportera om incidenten följt av en slutrapport senast en månad senare. Dock föreslås rapporteringskraven bli mer omfattande. Höjda sanktionsavgifter föreslås för den som bryter mot reglerna, upp till 10 miljoner euro eller 2 % av den totala omsättningen.

Förbättrad förmåga att förbereda och vidta åtgärder genom att öka förtroendet och samarbetet mellan myndigheter och medlemsländer

Delning av information och gemensamma regler i händelse av en storskalig incident eller kris ökar förståelsen mellan medlemsländer om nuvarande hot och utmaningar.
I NIS2 föreslås upprättande av ett EU ramverk för krishantering som kräver att medlemsstaterna utser en myndighet inom landet som är ansvariga för att delta i insatserna mot cybersäkerhetsincidenter och kriser på EU nivå. Direktivet föreslår även att ett EU:s cybersäkerhetsnätverk ska inrättas.

Medlemsstaterna är fortfarande skyldiga att anta en nationell cybersäkerhetsstrategi och utse en eller flera nationella tillsynsmyndigheter för att övervaka efterlevnaden av direktivet.

Åtgärder för NIS2-direktivet

Till följd av NIS2-direktivet kan din organisation behöva vidta åtgärder för att leva upp till direktivet.
För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete har vi tips på vilka steg ni ska ta härnäst:

  1. Identifiera om ni (eller era kunder) omfattas av NIS2 direktivet
  2. Informera ledningen om NIS2
  3. Se till att följande finns på plats:
    • Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)
    • Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
    • Informationssäkerhetspolicy
    • Regelbundna riskanalyser
    • Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
    • Strategier för säkerheten i nätverks- och informationssystem
    • Säkerhetspolicyer för era informationssystem
    • Regelbundna informationssäkerhetsutbildningar
    • Undersök säkerheten hos era leverantörer och tjänsteleverantörer
    • Undersök eventuella behov av kryptering och multifaktorautentisering
  4. Utöver målen i NIS2-direktivet kan medlemsländernas välja att utöka direktivets tillämpningsområde. Kommissionen kan också komma att precisera direktivet ytterligare samt lägga till föreskrifter med fler säkerhetsåtgärder. Det är därför viktigt att även ha koll på den svenska tillämpningen av direktivet samt ytterligare tillägg i direktivet och föreskrifter.

Behöver ni ytterligare rådgivning?

Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

Lena Graungaard Lindahl