NIS2-direktivet - vad innebär det?

Lena Graungaard Lindahl 25 september, 2022

Uppdateringar:

2 maj -2023: En statlig utredning har tillsatts som ska utreda och föreslå de anpassningar av svensk lag som är nödvändiga för implementeringen av NIS2-direktivet. Utredningen ska bland annat föreslå hur identifieringen av, och krav på, entiteter som omfattas av direktivet ska regleras samt ta ställning till om kommuner, universitet och högskolor ska omfattas av regleringen. Ytterligare exempel på vad utredningen ska analysera är hur kraven på riskhanteringsåtgärder och incidentrapportering ska implementeras samt vilka befogenheter tillsynsmyndigheterna bör ha i fråga om tillsyn och sanktioner. Utredningen ska redovisa sina resultat senast den 23 februari 2024.
I december 2022 publicerades NIS2 direktivet i EU:s officiella tidning som ”Directive (EU) 2022/2555”. Senast 17 oktober 2024 måste samtliga av EU:s medlemsstater lagstiftat i enlighet med direktivet och ska efterlevas
Den 10 november 2022 röstade EU-parlamentet igenom NIS2-direktivet. Nu behövs ett slutligt godkännande av EU-rådet innan direktivet kan appliceras på medlemsländerna. Efter godkännande förväntas medlemsländer ha upp till 21 månader på sig att inkludera NI2 i sin lagstiftning.

Introduktion

NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Den 16 december 2020 presenterade Europeiska kommissionen ett förslag på ett nytt NIS-direktiv kallat NIS2. Syftet med NIS2 är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet.

NIS förkortning
The Directive on security of Network and Information Systems

Bakgrund

2018, ett nytt direktiv träder i kraft

Det första NIS-direktivet trädde i kraft 2018 med syftet att höja den gemensamma cybersäkerhetsnivån för EU:s medlemsstater. Det gjorde man genom att ställa krav på säkerheten i nätverk och informationssystem i de tjänster som i största mån kunde påverka människors vardagliga liv och hälsa.

Leverantörer av samhällsviktiga verksamheter och vissa digitala tjänster som omfattas av direktivet:

Bankverksamhet
Digital infrastruktur
Energi (elektricitet, olja, gas)
Finansmarknadsinfrastruktur
Hälso- och sjukvårdssektorer
Leverans och distribution av dricksvatten
Transport (lufttransport, järnvägstransport, sjöfart, vägtransport)

Det ursprungliga NIS-direktivet kan summeras i sex tvingande åtgärdspunkter:

Utse och anmäl en företrädare till respektive verksamhets tillsynsmyndighet.
Genomför en årlig riskanalys som ska ligga till grund för åtgärdsplan och säkerhetsåtgärder.
Säkerställ ett systematiskt och riskbaserat informationssäkerhetsarbete kopplat till de nätverk- och informationssystem som används.
Genomför tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten.
Vidta lämpliga åtgärder för att minimera och förebygga verkning av incidenter som påverkar nätverk- och informationssystem.
Rapportera utan onödigt dröjsmål incidenter med betydande inverkan.

Du kan läsa mer om NIS-direktivet här: https://www.secify.com/konsulttjanster/nis-direktivet/

Skillnaden mellan NIS och NIS2

Vad innebär NIS2 direktivet?

På senare år har hoten ökat. Det handlar inte enbart om flera cyberattacker utan även om cyberhot ifrån olika länder. För att agera mot denna växande hotbild samt för att nå en ökad tydlighet och gemensam tillämpning av NIS har EU kommissionen tagit fram ett förslag att ersätta NIS med NIS2-direktivet.

De största förändringarna består i:

Krav på ökad informationssäkerhet berör fler tjänster och verksamheter

Utöver de som redan presenterats i NIS-direktivet tillkommer dessa:

Digitala leverantörer (sociala medier, sökmotorer, molnleverantörer mm)
Avloppshantering
Avfallshantering
Fjärrvärme eller fjärrkyla, vätgas
Livsmedel (produktion, bearbetning mm)
Offentlig förvaltning (gäller statliga myndigheter, om regioner och kommuner omfattas är upp till medlemsstaterna själva att bestämma)
Tillverkningsindustrin (bilindustrin, medicintekniska produkter mm)
Postverksamhet
Rymdverksamhet

NIS2-direktivet kommer även att inkludera krav på säkerhet i leveranskedjan, alltså berörs även berörda verksamheters leverantörer och underleverantörer.

Högre krav på rapportering och säkerhet samt minskning av skillnader mellan sektorer som omfattas av direktivet

Detta innebär exempelvis:

Utformning av strategier för kontinuerlig riskanalys av informationssystemens säkerhet.
Utarbetning av en incidenthanteringsplan och beredskaps- och affärskontinuitetsplan
Kontroll av säkerhet i hela leverantörskedjan.
Säkerhet vid inköp, utveckling och underhåll av nätverk- och informationssystem.
Användning av kryptering.

Läs mer

Det nya direktivet föreslår även tydligare riktlinjer för vad som ska vara med i incidentrapporteringen. I direktivet finns även krav på utbildning och övning på alla nivåer inom verksamheten för att öka förståelsen avseende risker och utmaningar. Tillsynsåtgärder och efterlevnadskrav är även striktare.

Liksom i NIS-direktivet har berörda 24 h på sig från att en incident upptäckts att rapportera om incidenten följt av en slutrapport senast en månad senare. Dock föreslås rapporteringskraven bli mer omfattande. Höjda sanktionsavgifter föreslås för den som bryter mot reglerna, upp till 10 miljoner euro eller 2 % av den totala omsättningen.

Förbättrad förmåga att förbereda och vidta åtgärder genom att öka förtroendet och samarbetet mellan myndigheter och medlemsländer

Delning av information och gemensamma regler i händelse av en storskalig incident eller kris ökar förståelsen mellan medlemsländer om nuvarande hot och utmaningar.
I NIS2 föreslås upprättande av ett EU ramverk för krishantering som kräver att medlemsstaterna utser en myndighet inom landet som är ansvariga för att delta i insatserna mot cybersäkerhetsincidenter och kriser på EU nivå. Direktivet föreslår även att ett EU:s cybersäkerhetsnätverk ska inrättas.

Läs mer

Medlemsstaterna är fortfarande skyldiga att anta en nationell cybersäkerhetsstrategi och utse en eller flera nationella tillsynsmyndigheter för att övervaka efterlevnaden av direktivet.

Vad händer nu?

EU parlamentet och Europeiska rådet har den 17 juni 2022 enats om utformningen av NIS2-direktivet. Direktivet ska nu formellt antas av båda institutionerna. Parlamentet planerar att rösta om förslaget de kommande månaderna. 20 dagar efter att NIS2 publicerats i EU:s officiella tidning kommer direktivet att gälla. EU:s medlemsländer har 18 till 24 månader på sig att lagstifta i enlighet med direktivet.

Dags att göra er redo!

Till följd av NIS2-direktivet kan din organisation inom ett kort tidsspann behöva vidta åtgärder för att leva upp till NIS2.
För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete inför NIS2 har vi tips på vilka steg ni ska ta härnäst:

Identifiera om ni (eller era kunder) kan komma att omfattas av NIS2 direktivet
Informera ledningen om NIS2
Håll koll på viktiga datum (när börjar direktivet att gälla)
Redan nu kan ni försöka ta reda på om följande finns på plats:
- Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)
- Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
- Informationssäkerhetspolicy
- Regelbundna riskanalyser
- Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
- Strategier för säkerheten i nätverks- och informationssystem
- Säkerhetspolicyer för era informationssystem
- Regelbundna informationssäkerhetsutbildningar
- Undersök säkerheten hos era leverantörer och tjänsteleverantörer
- Undersök eventuella behov av kryptering och multifaktorautentisering
Utöver målen i NIS2-direktivet kan medlemsländernas välja att utöka direktivets tillämpningsområde. Kommissionen kan också komma att precisera direktivet ytterligare samt lägga till föreskrifter med fler säkerhetsåtgärder. Det är därför viktigt att även ha koll på den svenska tillämpningen av direktivet samt ytterligare tillägg i direktivet och föreskrifter.

Behöver ni ytterligare rådgivning?

Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy hos Secify

Lena har en masterexamen i data- och systemvenskap med inriktning informationssäkerhet och har tidigare arbetat på olika myndigheter i Sverige. Hos oss jobbar Lena inom områdena privacy och informationssäkerhet.

Senaste inläggen av Lena Graungaard Lindahl

Har ditt företag en Business Continuity- och Disaster Recovery Plan? - 1 mars, 2023
DORA-förordningen – hur kommer den att påverka er? - 27 september, 2022
NIS2-direktivet – vad innebär det? - 25 september, 2022

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.