Vad är NIS2-direktivet och vilka berör det?

NIS-direktivet berör nätverks- och informationssäkerhet inom EU och är framtaget för att sätta en standard för unionens medlemsländer. Den uppdaterade versionen ’NIS2’ innebär utvidgat tillämpningsområde, strängare krav, ökat ansvar, ökade sanktioner och utökat skydd av konsumentdata. Här får du reda på mer om NIS2, vilka som berörs av direktivet och vad du ska göra om du berörs.

Illustration av NIS2

Vad är NIS2-direktivet?

NIS2 är direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i EU. Direktivet antogs av Europaparlamentet och Europarådet. Det ursprungliga direktivet NIS (Network and Information Systems/The Directive on Security of Network and Information Systems) syftade till att förbättra funktionen i den inre marknaden genom att etablera åtgärder för att säkerställa en högre gemensam säkerhetsnivå i nätverk och informationssystem inom unionen.

NIS2-direktivet bygger på det ursprungliga NIS-direktivet (som även är en lag) genom att utöka dess tillämpningsområde, införa strängare krav, öka ansvar och sanktioner för de som inte följer direktivet, förbättra samordningen mellan EU-länder, betona skyddet av persondata ytterligare och ge större flexibilitet till medlemsländerna i implementeringen.

NIS2 innebär också att minimikrav för åtgärder införs och att mer precisa rapporteringskrav implementeras. För en organisation som inte uppfyller NIS2 eller som inte rapporterar en incident i tid kan det bli böter på upp mot 10 miljoner euro eller 2 procent av den globala omsättningen.

  • Tillämpningsområde: NIS2-direktivet utvidgar sitt tillämpningsområde jämfört med det ursprungliga NIS-direktivet, och inkluderar nu fler sektorer och typer av enheter, särskilt inom viktiga samhällstjänster och kritisk infrastruktur.
  • Strängare krav: NIS2 förhöjer kraven på säkerhetsåtgärder och incidentrapportering. De företag och organisationer som direktivet täcker måste följa omfattande och strikta regler för att säkerställa och stärka cybersäkerheten.
  • Ökat ansvar och sanktioner: NIS2 inför strängare sanktioner för bristande efterlevnad. Detta omfattar högre böter och stramare tillsynsåtgärder för att garantera regelföljsamhet.
  • Förbättrad samordning: Direktivet strävar efter att förbättra samarbete och samordning mellan EU:s medlemsstater i hanteringen av cyberhot och incidenter, vilket innefattar delning av information och bästa praxis.
  • Skydd av konsumentdata: NIS2 sätter ökat fokus på skyddet av konsumentdata och personuppgifter, i överensstämmelse med andra EU-regelverk som exempelvis GDPR.
  • Större flexibilitet: NIS2 tillåter medlemsländerna att anpassa särskilda krav och åtgärder efter sina nationella förhållanden, samtidigt som man bibehåller en hög säkerhetsnivå.

Vilka berörs av NIS-direktivet?

NIS-direktivet har funnits med länge och omfattar både samhällsviktiga tjänster och vissa digitala tjänster. NIS vänder sig alltså till två typer av aktörer. För leverantörer av digitala tjänster finns det inget kriterium att vara ”samhällsviktig”.

Digitala tjänster

Denna aktör innefattar internetbaserade marknadsplatser, sökmotorer och molntjänster. Läs mer kring definitionen av ”digitala tjänster” i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster.

”Leverantörer av digitala tjänster ska utan onödigt dröjsmål rapportera incidenter som har en avsevärd inverkan på tillhandahållandet av en digital tjänst som de erbjuder inom Europeiska unionen. Rapporteringen ska göras till den myndighet som regeringen bestämmer.”

Samhällskritiska tjänster

De samhällskritiska tjänsterna är de som bedömts vara kritisk samhällelig eller ekonomisk verksamhet:

  • Bankverksamhet
  • Transport
  • Energi
  • Hälso- och sjukvård
  • Digital infrastruktur
  • Finansmarknadsinfrastruktur
  • Leverans och distribution av dricksvatten

Vilka berörs av NIS2-direktivet?

Med NIS2 utökas samhällskritiska tjänster till att även inkludera dessa sektorer:

  • Offentlig förvaltning
  • Tillverkning
  • Avfallshantering
  • Rymden
  • Forskning
  • Avloppsvatten
  • Förvaltning av IKT-tjänster
  • Post och budtjänster
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Digitala leverantörer

Man har inte helt klarlagt var gränsen för de "nya" samhällskritiska tjänsterna går. Det är dock rimligt att anta att många organisationer anmäler sig som sådana eftersom ansvaret att göra det ligger på de som berörs. Detta kommer troligen att leda till ytterligare krav på underleverantörer.

Den 23 februari 2023 fattade regeringen beslut om att ge en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att NIS 2-direktivet. Uppdraget ska redovisas senast 23 februari 2024. Då kommer de företag som påverkas direkt eller indirekt få reda på mer.

NIS2-direktivet börjar tillämpas den 18 oktober 2024. Direktivet höjer informationssäkerhetens standarder genom att kräva bättre skydd av integritet och tillgänglighet. Det kräver att verksamheter aktivt engagerar människor, optimerar processer och använder teknik för att försvara sig mot hot.

Vad ska de som berörs av NIS och NIS2 göra?

Verksamheterna måste effektivt identifiera sina mest kritiska tillgångar, utvärdera hot, hantera risker, stärka sin förmåga att snabbt hantera och rapportera säkerhetsincidenter.

Det gäller att aktivt skydda dina system, särskilt under nätverkskommunikation och dataöverföringar, baserat på en noggrann analys av hot, risker och sin risktolerans. Det är viktigt att du överväger de värsta tänkbara scenarierna för att fastställa nödvändiga säkerhetsåtgärder.

Samhällskritiska företag ska:

  • Anmäla sig hos behöriga tillsynsmyndigheter att de omfattas av NIS-regelverket.
  • Bedriva ett kontinuerligt, strukturerat och metodiskt säkerhetsarbete enligt standarder som ISO/IEC 27001.
  • Utföra årliga riskanalyser och utveckla åtgärdsplaner som ligger till grund för säkerhetsåtgärderna.
  • Implementera ändamålsenliga och proportionerliga åtgärder för att hantera identifierade risker.
  • Införa lämpliga förebyggande åtgärder för att minska konsekvenserna av incidenter.
  • Rapportera incidenter som väsentligt påverkar deras tjänster.

Hur och var ska du rapportera incidenter?

Enligt NIS-agen är det incidenter som har en avsevärd inverkan på tillhandahållandet av den digitala tjänsten som ska rapporteras (19 § NIS-lagen). Incidenterna ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB). Detta gäller både de organisationer som faller under kategorin ”samhällskritiska tjänster” och de som faller under kategorin ”digitala tjänster”.

Vad gäller för återförsäljare?

Enligt NIS-lagen anses ett bolag vara tillhandahållare av en digital tjänst även om de inte äger den tekniska plattformen, förutsatt att de gör tjänsten tillgänglig för slutanvändaren/slutkunden. Som leverantör av en digital tjänst enligt NIS-lagen har bolaget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för tjänstens säkerhet, inklusive incidenthantering.

De har även möjlighet att ställa krav på den som äger eller hanterar den tekniska plattformen genom avtal. Om ett bolag enbart fungerar som återförsäljare och huvudsakligen hanterar marknadsföring och försäljning, kan de inte (nödvändigtvis) anses tillhandahålla den digitala tjänsten.

Mindre företag berörs inte

För att omfattas av NIS-lagen krävs det att ditt företag som leverantör av digitala tjänster har en balansomslutning eller årsomsättning som överstiger tio miljoner euro eller har 50 eller fler anställda med huvuddelen av verksamheten i Sverige (finns verksamheten inom EU omfattas du av NIS men rapporterar då till det landets ansvariga myndighet).

Hypergene och NIS2

Hypergene engagerar sig aktivt i incidenthantering, riskhantering och sårbarhetshantering vid drift, underhåll och utveckling av våra lösningar. Det omfattar bland annat att aktivt säkra leverantörer, genomföra säkerhetskopiering och hantera eventuella kriser.

Vi bedömer också effektiviteten av riskhanteringsåtgärder, implementerar utbildningsinsatser för att stärka cybersäkerhetstänket och utvecklar och underhåller strategier för kryptering och åtkomstkontroll.

Information om Hypergenes arbete med ISO 27001 hittar du här.

Hypergene påverkas indirekt av NIS2 då större delen av våra kunder påverkas och omfattas av det nya direktivet. Det är därför väldigt viktigt att vi som bolag kontinuerligt arbetar med cybersäkerhet, och det är även därför vi lägger stor vikt vid att upprätthålla vår ISO27001-certifiering.
Emma Gabrielsson HypergeneEmma Gabrielsson, Process & Business Quality Manager

 

Vill du veta mer om Hypergene?
Hypergenes kunder kan effektivisera sina finansiella planeringsprocesser, följa upp verksamheten genom avancerade analys- och rapporteringsmöjligheter och arbeta med målstyrning på ett sätt som bryter ner övergripande planer till mål, nyckeltal och aktiviteter i hela organisationen.

Vill du veta mer? Läs mer om vår lösning här eller titta på en 7 minuters videodemo av vår lösning: