NIS2-direktivet är en uppdaterad version av det ursprungliga NIS-direktivet (Network and Information Systems Directive). Det syftar till att stärka säkerheten och motståndskraften hos nätverks- och informationssystem inom EU.

NIS2 omfattar ett brett spektrum av organisationer inom sektorer som energi, transport, bankverksamhet, hälso- och sjukvård, vattenförsörjning, digital infrastruktur, och flera andra viktiga tjänster och leverantörer av digitala tjänster.

En kritisk incident är en händelse som orsakar eller kan orsaka allvarliga störningar i tjänster eller betydande ekonomisk förlust. Det kan också innebära betydande materiell eller icke-materiell skada på andra personer eller organisationer.

Leverantörssäkerhet innebär att organisationer måste säkerställa att deras leverantörer uppfyller säkerhetskraven och inte utgör en risk för deras egna nätverk och informationssystem. Detta inkluderar regelbundna säkerhetsrevisioner och riskbedömningar av leverantörer.

En tillsynsmyndighet är en nationell myndighet som ansvarar för att övervaka och säkerställa efterlevnad av NIS2-direktivet. Exempel inkluderar MSB (Myndigheten för samhällsskydd och beredskap) i Sverige.

Cyberhygien innebär grundläggande säkerhetsåtgärder som regelbundna systemuppdateringar, användning av starka lösenord, begränsning av administratörsåtkomst och regelbundna säkerhetskopior.

CSIRT står för Computer Security Incident Response Team och är en enhet som hanterar och samordnar responsen på säkerhetsincidenter.

Harmonisering innebär att säkerställa att regler och säkerhetsåtgärder är standardiserade över olika medlemsstater för att undvika fragmentering och säkerställa enhetlig efterlevnad.

Den offentliga sektorn, inklusive myndigheter och kommuner, måste följa NIS2
krav på säkerhet och incidentrapportering för att skydda kritisk infrastruktur och tjänster.

NIS2 omfattar sektorer som energi, transport, bankverksamhet, finansmarknader, hälso- och sjukvård, vattenförsörjning, digital infrastruktur, IT-tjänster, offentlig förvaltning, och rymdsektorn.

NIS2 infördes för att hantera ökande cyberhot och säkerställa att kritiska infrastrukturer har robusta säkerhetsåtgärder på plats. Det bygger på erfarenheter från det ursprungliga NIS-direktivet och utökar dess krav för att bättre skydda EUs digitala ekonomi och samhälle.

De största förändringarna inkluderar:

• Utökning av sektorer som omfattas.
• Strängare säkerhetskrav och rapporteringsskyldigheter.
• Krav på hantering av säkerhet i leverantörskedjan.
• Ökad tillsyn och striktare sanktioner vid bristande efterlevnad.

• Tidig varning inom 24 timmar efter upptäckt.
• Fullständig incidentrapport inom 72 timmar.
• Slutlig rapport inom en månad efter den ursprungliga rapporten. Är incidenten pågående skall en lägesrapport lämnas.

Organisationer måste ha processer för att identifiera, utvärdera och åtgärda sårbarheter i sina system. Detta inkluderar regelbunden skanning och patchning av system för att förebygga säkerhetsintrång.

Ledningsgrupper och företagsledare kan hållas personligt ansvariga för att säkerställa att deras organisationer följer säkerhetskraven i NIS2. Detta kan innebära böter eller andra sanktioner vid bristande efterlevnad.

NIS2 har specifika tröskelvärden för vilka företag som omfattas, men även små och medelstora företag kan omfattas om de tillhandahåller kritiska tjänster eller uppfyller vissa kriterier för ekonomisk storlek och personalstyrka. Mer information i bloggen!

Organisationer måste rapportera allvarliga säkerhetsincidenter till relevanta myndigheter inom specifika tidsramar och tillhandahålla detaljerade rapporter om incidentens natur, påverkan och vidtagna åtgärder.

Sanktioner kan inkludera betydande böter, krav på att implementera specifika åtgärder och andra rättsliga påföljder.

Tredjepartsrisker innebär säkerhetsrisker som uppstår från externa parter som leverantörer eller partners och som kan påverka en organisations egna säkerhet.

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.