I mars 2024 uppdaterades och förstärktes NIS2-direktivet (Direktiv (EU) 2022/2555) för att höja den gemensamma säkerhetsnivån för nätverk och informationssystem inom EU. NIS2 ersätter det tidigare NIS-direktivet från 2016 och omfattar nu fler sektorer och ställer högre krav på både säkerhet och rapportering.

Vad är NIS2-direktivet då?

NIS2-direktivet syftar till att förbättra cybersäkerheten inom EU genom att ställa krav på att organisationer vidtar minimala säkerhetsåtgärder och rapporterar incidenter på ett strukturerat sätt. Direktivet omfattar egentligen två huvudkategorier av verksamheter:

  1. Väsentliga enheter: Inkluderar sektorer som energi, transport, bankverksamhet, finansmarknader, hälso- och sjukvård, vattenförsörjning, digital infrastruktur, och offentlig förvaltning. Dessa enheter måste följa striktare säkerhetsåtgärder och rapporteringskrav.
  2. Viktiga enheter: Inkluderar sektorer som post- och kurirtjänster, avfallshantering, kemikalier, livsmedel, och tillverkning av medicinsk utrustning och IT-produkter. Dessa enheter omfattas av något mindre strikta, men fortfarande betydande, säkerhetskrav.

Viktiga krav i NIS2-direktivet:

NIS2-direktivet introducerar ju en rad nya krav och förstärkningar, de är:

  • Säkerhetsåtgärder: Organisationer måste implementera grundläggande säkerhetsåtgärder, inklusive incidenthantering, leverantörssäkerhet, sårbarhetshantering, kryptering, och kontinuitetsplanering.
  • Incidentrapportering: Incidenter som påverkar tjänsternas tillgänglighet, integritet eller konfidentialitet måste rapporteras inom 24 timmar för en tidig varning och inom 72 timmar för en detaljerad incidentrapport. En månad senare ska en slutrapport ha lämnats in.
  • Leverantörshantering: Organisationer måste säkerställa att deras leverantörer uppfyller liknande säkerhetskrav för att minimera risker i leverantörskedjan.
  • Efterlevnad och tillsyn: Medlemsstaterna måste införa strikta tillsyns- och sanktioneringsmekanismer för att säkerställa efterlevnad av direktivet.

CER-direktivet – väldigt kortfattat:

CER (Critical Entities Resilience) kompletterar NIS2 genom att fokusera på den fysiska säkerheten och kontinuiteten för kritiska infrastrukturer. Det syftar till att säkerställa att kritiska enheter är motståndskraftiga mot störningar som kan hota deras funktionalitet.

Praktiska steg för organisationer

Organisationer bör börja förbereda sig för att uppfylla NIS2-kraven genom att (i korta drag):

  • Bedöma om deras verksamhet omfattas av direktivet.
  • Utvärdera och uppdatera sina säkerhetskontroller och incidenthanteringspolicyer.
  • Implementera nya säkerhetsåtgärder och rapporteringsskyldigheter genom sina leverantörskedjor.

För att lyckas med NIS2-efterlevnaden är det avgörande att börja tidigt och säkerställa att alla delar av organisationen är engagerade i säkerhetsarbetet.

Genom att följa dessa riktlinjer kan organisationer förbättra sin cybersäkerhet och säkerställa att de uppfyller de nya EU-kraven.

Hör gärna av er för mer information!

Mer läsning:

Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

19 november 2024|0 Comments

CER-direktivet: Nytt EU-direktiv för stärkt motståndskraft hos kritiska samhällsfunktioner

4 november 2024|0 Comments

Frågor och svar om Nis2

28 oktober 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.