Introduktion
NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster
Den 16 december 2020 presenterade Europeiska kommissionen ett förslag på ett nytt NIS-direktiv kallat NIS2. Syftet med NIS2 är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet.
NIS förkortning
The Directive on security of Network and Information Systems
Bakgrund
2018, ett nytt direktiv träder i kraft
Det första NIS-direktivet trädde i kraft 2018 med syftet att höja den gemensamma cybersäkerhetsnivån för EU:s medlemsstater. Det gjorde man genom att ställa krav på säkerheten i nätverk och informationssystem i de tjänster som i största mån kunde påverka människors vardagliga liv och hälsa.
Leverantörer av samhällsviktiga verksamheter och vissa digitala tjänster som omfattas av direktivet:
- Bankverksamhet
- Digital infrastruktur
- Energi (elektricitet, olja, gas)
- Finansmarknadsinfrastruktur
- Hälso- och sjukvårdssektorer
- Leverans och distribution av dricksvatten
- Transport (lufttransport, järnvägstransport, sjöfart, vägtransport)
Det ursprungliga NIS-direktivet kan summeras i sex tvingande åtgärdspunkter:
- Utse och anmäl en företrädare till respektive verksamhets tillsynsmyndighet.
- Genomför en årlig riskanalys som ska ligga till grund för åtgärdsplan och säkerhetsåtgärder.
- Säkerställ ett systematiskt och riskbaserat informationssäkerhetsarbete kopplat till de nätverk- och informationssystem som används.
- Genomför tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten.
- Vidta lämpliga åtgärder för att minimera och förebygga verkning av incidenter som påverkar nätverk- och informationssystem.
- Rapportera utan onödigt dröjsmål incidenter med betydande inverkan.
Du kan läsa mer om NIS-direktivet här: https://www.secify.com/konsulttjanster/nis-direktivet/
Skillnaden mellan NIS och NIS2
Vad innebär NIS2 direktivet?
På senare år har hoten ökat. Det handlar inte enbart om flera cyberattacker utan även om cyberhot ifrån olika länder. För att agera mot denna växande hotbild samt för att nå en ökad tydlighet och gemensam tillämpning av NIS har EU kommissionen tagit fram ett förslag att ersätta NIS med NIS2-direktivet.
De största förändringarna består i:
Vad händer nu?
EU parlamentet och Europeiska rådet har den 17 juni 2022 enats om utformningen av NIS2-direktivet. Direktivet ska nu formellt antas av båda institutionerna. Parlamentet planerar att rösta om förslaget de kommande månaderna. 20 dagar efter att NIS2 publicerats i EU:s officiella tidning kommer direktivet att gälla. EU:s medlemsländer har 18 till 24 månader på sig att lagstifta i enlighet med direktivet.
Dags att göra er redo!
Till följd av NIS2-direktivet kan din organisation inom ett kort tidsspann behöva vidta åtgärder för att leva upp till NIS2.
För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete inför NIS2 har vi tips på vilka steg ni ska ta härnäst:
- Identifiera om ni (eller era kunder) kan komma att omfattas av NIS2 direktivet
- Informera ledningen om NIS2
- Håll koll på viktiga datum (när börjar direktivet att gälla)
- Redan nu kan ni försöka ta reda på om följande finns på plats:
- Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)
- Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
- Informationssäkerhetspolicy
- Regelbundna riskanalyser
- Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
- Strategier för säkerheten i nätverks- och informationssystem
- Säkerhetspolicyer för era informationssystem
- Regelbundna informationssäkerhetsutbildningar
- Undersök säkerheten hos era leverantörer och tjänsteleverantörer
- Undersök eventuella behov av kryptering och multifaktorautentisering
- Utöver målen i NIS2-direktivet kan medlemsländernas välja att utöka direktivets tillämpningsområde. Kommissionen kan också komma att precisera direktivet ytterligare samt lägga till föreskrifter med fler säkerhetsåtgärder. Det är därför viktigt att även ha koll på den svenska tillämpningen av direktivet samt ytterligare tillägg i direktivet och föreskrifter.
Behöver ni ytterligare rådgivning?
Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

- Har ditt företag en Business Continuity- och Disaster Recovery Plan? - 1 mars, 2023
- DORA-förordningen – hur kommer den att påverka er? - 27 september, 2022
- NIS2-direktivet – vad innebär det? - 25 september, 2022