NIS2-direktivet - vad innebär det?

Lena Graungaard Lindahl 25 september, 2022

Uppdateringar:

  • 2 maj -2023: En statlig utredning har tillsatts som ska utreda och föreslå de anpassningar av svensk lag som är nödvändiga för implementeringen av NIS2-direktivet. Utredningen ska bland annat föreslå hur identifieringen av, och krav på, entiteter som omfattas av direktivet ska regleras samt ta ställning till om kommuner, universitet och högskolor ska omfattas av regleringen. Ytterligare exempel på vad utredningen ska analysera är hur kraven på riskhanteringsåtgärder och incidentrapportering ska implementeras samt vilka befogenheter tillsynsmyndigheterna bör ha i fråga om tillsyn och sanktioner. Utredningen ska redovisa sina resultat senast den 23 februari 2024.
  • I december 2022 publicerades NIS2 direktivet i EU:s officiella tidning som ”Directive (EU) 2022/2555”. Senast 17 oktober 2024 måste samtliga av EU:s medlemsstater lagstiftat i enlighet med direktivet och ska efterlevas
  • Den 10 november 2022 röstade EU-parlamentet igenom NIS2-direktivet. Nu behövs ett slutligt godkännande av EU-rådet innan direktivet kan appliceras på medlemsländerna. Efter godkännande förväntas medlemsländer ha upp till 21 månader på sig att inkludera NI2 i sin lagstiftning.

Introduktion

NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Den 16 december 2020 presenterade Europeiska kommissionen ett förslag på ett nytt NIS-direktiv kallat NIS2. Syftet med NIS2 är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet.

NIS förkortning
The Directive on security of Network and Information Systems

Bakgrund

2018, ett nytt direktiv träder i kraft

Det första NIS-direktivet trädde i kraft 2018 med syftet att höja den gemensamma cybersäkerhetsnivån för EU:s medlemsstater. Det gjorde man genom att ställa krav på säkerheten i nätverk och informationssystem i de tjänster som i största mån kunde påverka människors vardagliga liv och hälsa.

Leverantörer av samhällsviktiga verksamheter och vissa digitala tjänster som omfattas av direktivet:

  • Bankverksamhet
  • Digital infrastruktur
  • Energi (elektricitet, olja, gas)
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorer
  • Leverans och distribution av dricksvatten
  • Transport (lufttransport, järnvägstransport, sjöfart, vägtransport)

Det ursprungliga NIS-direktivet kan summeras i sex tvingande åtgärdspunkter:

  1. Utse och anmäl en företrädare till respektive verksamhets tillsynsmyndighet.
  2. Genomför en årlig riskanalys som ska ligga till grund för åtgärdsplan och säkerhetsåtgärder.
  3. Säkerställ ett systematiskt och riskbaserat informationssäkerhetsarbete kopplat till de nätverk- och informationssystem som används.
  4. Genomför tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten.
  5. Vidta lämpliga åtgärder för att minimera och förebygga verkning av incidenter som påverkar nätverk- och informationssystem.
  6. Rapportera utan onödigt dröjsmål incidenter med betydande inverkan.

Du kan läsa mer om NIS-direktivet här: https://www.secify.com/konsulttjanster/nis-direktivet/

Skillnaden mellan NIS och NIS2

Vad innebär NIS2 direktivet?

På senare år har hoten ökat. Det handlar inte enbart om flera cyberattacker utan även om cyberhot ifrån olika länder. För att agera mot denna växande hotbild samt för att nå en ökad tydlighet och gemensam tillämpning av NIS har EU kommissionen tagit fram ett förslag att ersätta NIS med NIS2-direktivet.

De största förändringarna består i:

Krav på ökad informationssäkerhet berör fler tjänster och verksamheter

Utöver de som redan presenterats i NIS-direktivet tillkommer dessa:

  • Digitala leverantörer (sociala medier, sökmotorer, molnleverantörer mm)
  • Avloppshantering
  • Avfallshantering
  • Fjärrvärme eller fjärrkyla, vätgas
  • Livsmedel (produktion, bearbetning mm)
  • Offentlig förvaltning (gäller statliga myndigheter, om regioner och kommuner omfattas är upp till medlemsstaterna själva att bestämma)
  • Tillverkningsindustrin (bilindustrin, medicintekniska produkter mm)
  • Postverksamhet
  • Rymdverksamhet

NIS2-direktivet kommer även att inkludera krav på säkerhet i leveranskedjan, alltså berörs även berörda verksamheters leverantörer och underleverantörer.

Högre krav på rapportering och säkerhet samt minskning av skillnader mellan sektorer som omfattas av direktivet

Detta innebär exempelvis:

  • Utformning av strategier för kontinuerlig riskanalys av informationssystemens säkerhet.
  • Utarbetning av en incidenthanteringsplan och beredskaps- och affärskontinuitetsplan
  • Kontroll av säkerhet i hela leverantörskedjan.
  • Säkerhet vid inköp, utveckling och underhåll av nätverk- och informationssystem.
  • Användning av kryptering.

Det nya direktivet föreslår även tydligare riktlinjer för vad som ska vara med i incidentrapporteringen. I direktivet finns även krav på utbildning och övning på alla nivåer inom verksamheten för att öka förståelsen avseende risker och utmaningar. Tillsynsåtgärder och efterlevnadskrav är även striktare.

Liksom i NIS-direktivet har berörda 24 h på sig från att en incident upptäckts att rapportera om incidenten följt av en slutrapport senast en månad senare. Dock föreslås rapporteringskraven bli mer omfattande. Höjda sanktionsavgifter föreslås för den som bryter mot reglerna, upp till 10 miljoner euro eller 2 % av den totala omsättningen.

Förbättrad förmåga att förbereda och vidta åtgärder genom att öka förtroendet och samarbetet mellan myndigheter och medlemsländer

Delning av information och gemensamma regler i händelse av en storskalig incident eller kris ökar förståelsen mellan medlemsländer om nuvarande hot och utmaningar.
I NIS2 föreslås upprättande av ett EU ramverk för krishantering som kräver att medlemsstaterna utser en myndighet inom landet som är ansvariga för att delta i insatserna mot cybersäkerhetsincidenter och kriser på EU nivå. Direktivet föreslår även att ett EU:s cybersäkerhetsnätverk ska inrättas.

Medlemsstaterna är fortfarande skyldiga att anta en nationell cybersäkerhetsstrategi och utse en eller flera nationella tillsynsmyndigheter för att övervaka efterlevnaden av direktivet.

Vad händer nu?

EU parlamentet och Europeiska rådet har den 17 juni 2022 enats om utformningen av NIS2-direktivet. Direktivet ska nu formellt antas av båda institutionerna. Parlamentet planerar att rösta om förslaget de kommande månaderna. 20 dagar efter att NIS2 publicerats i EU:s officiella tidning kommer direktivet att gälla. EU:s medlemsländer har 18 till 24 månader på sig att lagstifta i enlighet med direktivet.

Dags att göra er redo!

Till följd av NIS2-direktivet kan din organisation inom ett kort tidsspann behöva vidta åtgärder för att leva upp till NIS2.
För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete inför NIS2 har vi tips på vilka steg ni ska ta härnäst:

  1. Identifiera om ni (eller era kunder) kan komma att omfattas av NIS2 direktivet
  2. Informera ledningen om NIS2
  3. Håll koll på viktiga datum (när börjar direktivet att gälla)
  4. Redan nu kan ni försöka ta reda på om följande finns på plats:
    • Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)
    • Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
    • Informationssäkerhetspolicy
    • Regelbundna riskanalyser
    • Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
    • Strategier för säkerheten i nätverks- och informationssystem
    • Säkerhetspolicyer för era informationssystem
    • Regelbundna informationssäkerhetsutbildningar
    • Undersök säkerheten hos era leverantörer och tjänsteleverantörer
    • Undersök eventuella behov av kryptering och multifaktorautentisering
  5. Utöver målen i NIS2-direktivet kan medlemsländernas välja att utöka direktivets tillämpningsområde. Kommissionen kan också komma att precisera direktivet ytterligare samt lägga till föreskrifter med fler säkerhetsåtgärder. Det är därför viktigt att även ha koll på den svenska tillämpningen av direktivet samt ytterligare tillägg i direktivet och föreskrifter.

Behöver ni ytterligare rådgivning?

Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

Lena Graungaard Lindahl