NIS2 - utökade krav på informationssäkerhet inom EU

EU:s medlemsländer har fram till oktober 2024 att implementera det nya direktivet kring nätverks- och informationssäkerhet - NIS2. Syftet med direktivet är att stå bättre rustad mot cyberattacker och andra hot som digitaliseringen medför och därför utökas kraven till att omfatta även företag och organisationer med samhällskritiska tjänster. Här redogör vi för vilka verksamheter som berörs och vilka krav som ställs.

NIS2 - vad är det?

NIS2, Network and Information Systems Directive 2, är en vidareutveckling av det tidigare direktivet NIS. Med NIS2 vill EU stärka skyddet kring informationssäkerhet för viktiga samhällsfunktioner i medlemsländerna och inför därmed ett antal förändringar för företag och organisationer som påverkar deras arbete med riskhantering och cybersäkerhet. 

Vilka verksamheter berörs av NIS2? 

EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för branscher som energiförsörjning, tillverkningsindustrin, avfallshantering samt tillverkning, produktion och distribution av till exempel livsmedel och kemikalier. Fokus i direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, dels incidenter som kan skada eller hindra samhällsfunktioner. Därmed omfattas långt fler än traditionella kritiska infrastrukturorganisationer.

Inom exempelvis energisektorn begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att hela leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.

NIS2 berör således företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering.

De företag och organisationer som omfattas av NIS2 har en personalstyrka på mer än 49 anställda och en årlig omsättning eller balansomslutning som överstiger 10 miljoner euro.

NIS2 - strängare krav för en säkrare digital värld

NIS2-direktivet medför betydande förändringar inom riskhantering och cybersäkerhet. Exempelvis kommer tillämpningskraven skärpas kraftigt. Här är några exempel på krav som ställs:

• Strängare krav på leverantörer och säkerhet i hela leveranskedjan för att säkerställa pålitliga och skyddade system. 
• Utökade krav på rapportering av incidenter för att snabbt kunna agera och åtgärda eventuella intrång eller hot. 
• Förstärkta säkerhetsåtgärder för att effektivt skydda mot cyberhot och förebygga potentiella attacker. 
• Nya krav på utförande av riskbedömningar för att identifiera och hantera sårbarheter i systemen.

Ett tydligt utökat ledningsansvar och hårda sanktioner kommer att tillämpas i hela EU mot företag och organisationer som inte fullt ut efterlever NIS2. Bland annat riskerar de som inte följer NIS2 omfattande ekonomiska påföljder baserade på företagens globala omsättning.