En guide till NIS2: Vad vi vet just nu

Eningo AB

2024-10-15

Vad är NIS2?

I en värld där digitaliseringen ökar, växer också behovet av cybersäkerhet. NIS2 är ett nytt EU-direktiv och markerar en stor förändring i hur cybersäkerhet hanteras. Målet med NIS2 är att öka motståndskraften mot cyberattacker hos leverantörer av samhällsviktiga tjänster, effektivisera motståndskraften mot cyberattacker genom strängare säkerhetskrav och påföljder för överträdelser, samt förbättra EU:s beredskap för hantering av cyberattacker. Direktivet ersätter det tidigare NIS-direktivet från 2016 och kommer att införas i svensk lagstiftning under cybersäkerhetslagen. Regeringens utredning pågår för att hantera frågor kring reglerna, men vi har fortfarande inte exakta svar trots att direktivet förväntas träda i kraft snart. Den här artikeln ger en grundläggande sammanfattning av vad vi har att utgå från.

Här är de största förändringarna i korthet:

  • Utvidgat tillämpningsområde: Direktivet kommer att omfatta 18 sektorer, jämfört med tidigare 7.
  • Hårdare säkerhetskrav: Företag måste implementera strikta säkerhetsåtgärder och riskhanteringsstrategier. Detta inkluderar krav på genomförandet av riskbedömningar och att ha incidenthanteringsplaner på plats.
  • Ökad rapporteringsskyldighet: Organisationer måste rapportera incidenter som kan påverka deras nätverks- och informationssystem inom kortare tidsramar. Allvarliga incidenter måste rapporteras inom 24 timmar från det att företaget blivit medvetet om händelsen.
  • Bättre samarbeten och informationsutbyte: Direktivet understryker vikten av samarbete mellan EU-länder för att stärka säkerheten och skapa ett nytt system för utbyte av information och incidentrapporter på EU-nivå. Det skapas också gemensamma regler för krishantering. Styrning och ansvar: Det ställs högre krav på företagsledningar, som nu har ett stort ansvar för cybersäkerheten i organisationerna. Det kan även leda till personligt ansvar i händelse av brister.
  • Ökad tillsyn och sanktioner: Myndigheternas tillsyn över de berörda enheterna kommer att öka, och det införs hårdare straff för överträdelser. Företag som inte efterlever kraven kan få böter upp till 10 miljoner euro eller 2% av deras globala omsättning (samma bötesbelopp som för mindre allvarliga överträdelser av GDPR).
  • Kritiska och viktiga tjänster: NIS2 delar in tjänster i "kritiska" och "viktiga" kategorier, med olika krav beroende på kategori.

Den stora frågan: Vilka omfattas av NIS2?

NIS2 breddar det tidigare direktivet genom en ökning av antalet reglerade sektorer från 7 till 18. Det innebär att fler företag och organisationer, både privata och offentliga, kommer att omfattas av reglerna. Direktivet delar in berörda sektorer i två kategorier av verksamhetsutövare: väsentliga och viktiga. Kraven som ställs på verksamheten är i stort sett desamma, men reglerna för tillsyn och sanktioner skiljer sig åt.

Väsentliga enheter (11 sektorer)

  • Energi - El, gas, olja, fjärrvärme och vätgas.
  • Transport - Luft, järnväg, väg och vatten.
  • Bankverksamhet – Kreditinstitut.
  • Infrastrukturer för finansmarknaden - Operatörer av handelsplatser och centrala motparter
  • Hälso- och sjukvård - Vårdgivare och relaterade enheter.
  • Dricksvatten - Leverantörer och distributörer av dricksvatten.
  • Avloppsvatten - Företag som hanterar avloppsvatten.
  • Digital infrastruktur - Leverantörer av Internet Exchange Points, DNS-tjänster, molntjänster, och datacenter.
  • Hantering av IKT-tjänster - Leverantörer av hanterade och säkerhetstjänster.
  • Offentlig förvaltning - Enheter inom central och regional offentlig förvaltning.
  • Rymd - Operatörer av markbaserad infrastruktur för rymdbaserade tjänster.

Viktiga enheter (7 sektorer)

  • Post- och kurirtjänster - Tillhandahållare av post- och kurirtjänster.
  • Avfallshantering - Företag som bedriver avfallshantering.
  • Tillverkning, produktion och distribution av kemikalier - Företag som tillverkar och distribuerar kemikalier och blandningar.
  • Produktion, bearbetning och distribution av livsmedel - Livsmedelsföretag inom grossistförsäljning samt industriell produktion och bearbetning.
  • Tillverkning - Tillverkning av medicintekniska produkter, datorer, elektriska och optiska produkter, maskiner, motorfordon, och andra transportmedel.
  • Digitala leverantörer - Tillhandahållare av online-marknadsplatser, sökmotorer och plattformar för sociala nätverk.
  • Forskning - Forskningsorganisationer som bedriver tillämpad forskning eller experimentell utveckling för kommersiella ändamål.

NIS2-reglerna gäller främst för medelstora och stora företag. Ett företag anses vara medelstort om det har minst 50 anställda och en årsomsättning på minst 10 miljoner euro. Däremot är det inte riktigt så enkelt. Även mindre företag kan omfattas av direktivet om deras verksamhet har stor påverkan på människors liv och hälsa, om de är den enda leverantören av en viss tjänst i ett land, eller om en störning kan leda till allvarliga konsekvenser. Dessutom påverkar NIS2 även leverantörer och underleverantörer till företag som omfattas av reglerna, på grund av krav på säkerhet i hela leveranskedjan. Det finns fortfarande en hel del otydligheter kring vilka som omfattas och förhoppningen är på ett förtydligande inom kort. I breda drag beskrivs det att företag som involveras i samhällsviktiga tjänster, oavsett om de är offentliga eller privata, kan omfattas av direktivet.

MSB har en hel del information på sin hemsida där man kan läsa mer. Där finns även kontaktuppgifter till tillsynsmyndigheterna för de olika sektorerna samlade: NIS-tillsyn (msb.se).

Hur påverkas företag?

NIS2 kommer att påverka företag på flera sätt:

  • Ytterligare fokus på cybersäkerhet: Företag behöver integrera cybersäkerhet som en del av sin övergripande affärsstrategi, vilket kräver både tekniska lösningar och rätt personalresurser.
  • Utbildning av personal: Det blir viktigt att alla anställda är medvetna om riskerna inom cybersäkerhet. Utbildningar kommer att vara av stor vikt för att bygga en stark säkerhetskultur inom företagen.
  • Kostnader och resurser: För att uppfylla kraven i NIS2 kommer företag behöva investera i teknik och personal, något som behöver planeras för i budgeten.

När börjar NIS2 gälla?

Myndigheten för samhällsskydd och beredskap informerar på sin hemsida att: ”NIS2-direktivet kommer att genomföras i Sverige genom en lag som börjar gälla tidigast sommaren 2025”. Däremot skriver regeringen på sin hemsida att deras utredning föreslår att bestämmelserna ska träda i kraft redan 1 januari 2025. Medlemsländerna ska senast den 17 oktober 2024 anta och offentliggöra de bestämmelser som är nödvändiga för följande av direktivet.

Slutsats

NIS2 innebär ett stort steg framåt för att förbättra cybersäkerheten i EU. Med strängare regler och krav på rapportering och riskhantering vill EU skydda viktig infrastruktur och säkerställa att företag och myndigheter kan hantera framtida hot på ett bättre sätt. I en värld där digitaliseringen ökar, växer också riskerna för cybersäkerhet. Med det sagt är förändring inte smärtfritt. Vi väntar ivrigt på mer information som förhoppningsvis kan klargöra frågetecknen.

Vill du veta mer om blogginlägget?

Vi vill gärna ha en dialog med dig, fyll i kontaktuppgifter nedan så kontaktar vi dig inom kort.
Eller kontakta Joel direkt!
Tack! Ditt meddelande har tagits emot!
Hoppsan! Något gick fel när formuläret skickades.

Gillade du vårt inlägg?

Dela gärna på sociala medier och hjälp oss sprida ordet om Eningo!

TA FÖRSTA STEGET

Kontakta oss

Vi återkommer till dig så snart vi kan!

Maila till oss

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.