Nis2-direktivet (Nätverk och informationssystem2) är en uppdatering av EUs första NIS-direktiv från 2016 och trädde i kraft den 18 oktober 2024. Det har ännu inte implementerats i svensk lag, men planeras att införas som Cybersäkerhetslagen i Sverige, troligtvis i augusti 2025. Nis2 syftar till att stärka säkerheten och robustheten i nätverks- och informationssystem, särskilt för organisationer som levererar samhällsviktiga tjänster och för kritisk infrastruktur. Denna uppdatering tar hänsyn till den snabbt föränderliga hotbilden inom cybersäkerhet och ställer skärpta krav på en bredare krets av företag och organisationer.

Högkritiska och kritiska enheter

Nis2-direktivet omfattar två huvudsakliga grupper av verksamheter:

  1. Högkritiska aktörer: Detta är företag och organisationer som bedöms ha en direkt och betydande inverkan på samhällets funktion. De levererar tjänster eller hanterar infrastruktur som, om de skulle drabbas av en cyberattack, kan leda till allvarliga störningar i samhället. Exempel på högkritiska aktörer är:
    • Energisektorn: Elproducenter, gasbolag och oljeraffinaderier som upprätthåller den grundläggande energiförsörjningen.
    • Transportsektorn: Flygplatser, hamnar, järnvägsoperatörer och vägtransportsystem som behövs för att människor och varor ska kunna röra sig säkert och effektivt.
    • Vattenförsörjning: Vattenreningsverk och dricksvattenleverantörer vars verksamhet är avgörande för folkhälsa och samhällets funktionalitet.
    • Finansiella tjänster: Banker, försäkringsbolag och andra finansiella institutioner som hanterar betalningssystem och finansiella transaktioner, vilket direkt påverkar den ekonomiska stabiliteten.
    • Digital infrastruktur: Internetleverantörer, molntjänstleverantörer och datacenter som är basen för digital kommunikation och databehandling.
    • Offentlig förvaltning: Myndigheter och statliga organ som hanterar viktiga samhällsfunktioner och data som är nödvändiga för att hålla landet säkert och fungerande.
  2. Kritiska aktörer: Detta är företag och organisationer vars verksamhet också är viktig för samhället, men där konsekvenserna av en cyberattack kan vara mindre omedelbara eller omfattande. Hit räknas bland annat:
    • Tillverkning: Industriföretag som är inblandade i produktionen av medicinska produkter, livsmedel eller andra samhällskritiska varor.
    • Leveranskedjor: Företag som levererar komponenter och råmaterial till de högkritiska sektorerna.
    • Post- och kurirtjänster: Dessa tjänster har en stödjande roll för samhällslogistik och informationsflöde.
    • Avfallshantering och andra miljötjänster: Företag som ansvarar för avfallshantering och miljötjänster som är viktiga för en fungerande samhällsinfrastruktur.

Vad behöver man göra för att uppfylla Nis2-kraven?

Företag och organisationer som omfattas av Nis2, både högkritiska och kritiska, måste genomföra specifika åtgärder för att säkerställa att de följer direktivet. Här är de centrala kraven:

  1. Riskhantering och säkerhetsåtgärder: Organisationer måste etablera tydliga rutiner för riskbedömning och implementera säkerhetsåtgärder. Dessa säkerhetsåtgärder ska ta hänsyn till både tekniska och mänskliga faktorer och skydda organisationen mot cyberhot som ransomware-attacker, nätverksintrång och dataförlust.
  2. Incidenthantering: Företagen måste ha en välutvecklad incidenthanteringsplan för att snabbt upptäcka, rapportera och åtgärda säkerhetsincidenter. Detta inkluderar att rapportera större incidenter till ansvariga myndigheter inom 24 timmar efter upptäckt.
  3. Styrning och ansvar: Nis2 betonar att organisationens styrelse och ledning har ett direkt ansvar för att säkerhetsåtgärderna är tillräckliga och att de följs upp. Styrelsemedlemmar kan bli personligt ansvariga om organisationen misslyckas med att vidta nödvändiga åtgärder.
  4. Säkerhet i leverantörskedjan: Företag måste utvärdera och hantera cybersäkerhetsrisker i sina leveranskedjor. Detta innebär att inte bara fokusera på intern säkerhet, utan även bedöma risker hos tredje parter och leverantörer som levererar tjänster eller produkter till organisationen.
  5. Samarbete och informationsutbyte: Organisationer uppmuntras att dela information om hot och säkerhetsincidenter med andra aktörer, både nationellt och internationellt, för att stärka det samlade cybersäkerhetsarbetet.
  6. Utbildning och medvetenhet: Personalen på alla nivåer, från den högsta ledningen till operativa team, måste utbildas i cybersäkerhet för att kunna hantera hoten på ett effektivt sätt. Denna utbildning ska vara kontinuerlig och uppdaterad.

Sanktioner vid bristande efterlevnad

Om en organisation inte följer Nis2 kan den mötas av allvarliga konsekvenser. Sanktionerna är avsedda att säkerställa att företag tar cybersäkerhet på största allvar och inkluderar:

  • Betydande ekonomiska sanktioner: Böter kan uppgå till så mycket som 10 miljoner euro eller 2 % av företagets globala omsättning, beroende på vilket belopp som är högre.
  • Operativa åtgärder: Myndigheter kan kräva att företaget genomför specifika förändringar i sina säkerhetsrutiner eller tillfälligt förbjuder viss verksamhet om säkerheten anses vara otillräcklig.
  • Personligt ansvar: Styrelseledamöter och andra i ledande positioner kan hållas personligt ansvariga för bristande åtgärder, vilket kan leda till ytterligare sanktioner.

Viktiga kontakter och tillsynsmyndigheter

Varje EU-land måste utse nationella tillsynsmyndigheter som övervakar efterlevnaden av Nis2. I Sverige är Myndigheten för samhällsskydd och beredskap (MSB) den centrala tillsynsmyndigheten. MSB kommer att arbeta i nära samarbete med sektorspecifika myndigheter, som till exempel Energimarknadsinspektionen för energisektorn och Finansinspektionen för finansiella tjänster.

Företag och organisationer måste ha en tydlig dialog med dessa myndigheter för att säkerställa att de uppfyller alla krav och för att kunna rapportera säkerhetsincidenter i tid.

Sammanfattning

Nis2 är ett omfattande och viktigt direktiv som har kommit till för att stärka EUs samlade cybersäkerhet. Det gäller för både högkritiska och kritiska aktörer inom ett brett spektrum av sektorer som är viktiga för samhällets funktion. Direktivets krav är tydliga och stränga, med fokus på att hantera säkerhetsrisker, förbättra incidenthantering och säkerställa att ledningen tar ansvar för cybersäkerheten.

För företag som omfattas av Nis2 är det viktigt att:

  • Identifiera sin status: Är ni en högkritisk eller kritisk aktör enligt direktivet?
  • Implementera säkerhetsåtgärder: Se till att ha en riskhanteringsplan och tekniska säkerhetslösningar på plats.
  • Utbilda ledningen: Styrelsen och högsta ledningen måste vara medvetna om sitt ansvar och vara engagerade i cybersäkerhetsarbetet.
  • Säkerställa kontinuerlig uppföljning och samarbete: Regelbundna revisioner, informationsdelning och samarbeten är nyckeln till att vara förberedd på cyberhot.

Sverige har ännu inte implementerat Nis2 i nationell lagstiftning, men det förväntas ske i form av den så kallade Cybersäkerhetslagen i augusti 2025. Genom att agera proaktivt redan nu kan företag och organisationer minska sina risker och säkerställa efterlevnad när lagen träder i kraft.

Behöver du rådfråga eller konsultation?

Kontakt

info@nis2sverige.se

Öppettider

Mån-fre: 8 — 16