Vad är NIS2-direktivet?

Digital trygghet har varit en högt prioriterad fråga för Europeiska Unionen (EU) under det senaste decenniet. En av de främsta orsakerna är den ökande frekvensen av cyberattacker som regelbundet rapporteras i nyhetsmedierna. Detta är inte förvånande med tanke på den globala digitaliseringsvågen. Men under de senaste åren har även hotbilden mot kritisk infrastruktur ökat exponentiellt. 

Covid-19 pandemin blev ett tydligt trendbrott som snabbade på övergången till distansarbete, vilket skapat nya sårbarheter för företag och organisationer. Detta har i sin tur resulterat i en ökning av så kallade phishing-attacker riktade mot individer. I takt med den nuvarande geopolitiska situationen har hotet om cyberattacker ytterligare förstärkts, särskilt riktat mot organisationer och företag som tillhandahåller viktiga tjänster och kan vara måltavlor i hybridkrigsföring. 

2023 markerade en viktig milstolpe för EU när NIS2-direktivet äntligen trädde i kraft. Men det är först i oktober 2024 som Sverige måste börja efterleva lagen, vilket innebär att det nu sker omfattande förberedelser från både företag och myndigheter. Trots att NIS-direktivet har funnits sedan 2016 representerar NIS2 en betydande utveckling genom uppdaterad lagstiftning som är anpassad efter dagens och framtidens krav. Målet med NIS2 är tydligt definierat: att inkludera fler sektorer och engagera ett större antal organisationer för att höja cybersäkerhetsstandarderna i Europa. 

Vi förstår att lagen kan vara svår att förstå. Därför kommer den här bloggen att bryta ned vad NIS2 är, belysa dess huvudpunkter och undersöka hur man kan förbereda sig. Det är viktigt att notera att de slutgiltiga direktiven för Sveriges implementering av lagen kommer  senast den 23:e februari 2024. Därmed är informationen som presenteras avsedd för förberedande syften och kommer att uppdateras. 

Vad är NIS2? 

NIS2 är en uppdaterad version av EU:s Network and Information Security (NIS) Directive. Syftet med NIS2 är att öka cybersäkerheten och motståndskraften i EU-organisationer genom att täcka fler sektorer och obligera fler enheter att vidta åtgärder. Direktivet innehåller strängare krav på säkerhet, nya rapporteringsskyldigheter och utökade tillsynsåtgärder för en större omfattning av företag och organisationer.  

Den 14:e december 2022 bestämdes reglerna för att öka cybersäkerheten i hela unionen (NIS2). Direktivet börjar tillämpas från den 18:e oktober i Sverige. De slutgiltiga direktiven gällande Sveriges implementering av lagen väntas vara klara den 23:e februari 2024. Därför är den svenska tolkningen av direktivet ännu inte helt klar, och eventuella ytterligare detaljer kommer att fastställas och meddelas inom kort.  

Uppdatering: MSB har informerat om att utredningen, som ska föreslå hur NIS2 ska implementeras, har fått förlängd tid. Förslag om NIS 2 förväntas den 5 mars, medan CER och andra relaterade frågor följer den 16 september. Lagen träder sannolikt i kraft tidigast 1 januari 2025. Vi kommer att fortsätta informera er om utvecklingen.

Läs den uppdaterade versionen av NIS2 här!

Vem omfattas av NIS2? 

NIS2-direktivet omfattar 18 olika sektorer med underliggande delsektorer. Dessa sektorer kategoriseras som antingen väsentliga eller viktiga, vilket kan vara bra att hålla koll på eftersom de har olika storleksbegränsningar. Om din organisation verkar inom någon av de angivna sektorerna blir ni antagligen påverkade av NIS2.  

Väsentliga sektorer: 

• Energi
• Transporter
• Bankverksamhet 
• Finansmarknadsinfrastruktur 
• Hälso- och sjukvård 
• Leverans och distribution av dricksvatten 
• Digital infrastruktur 
• Avloppsvatten 
• Förvaltning av IKT-tjänster 
• Offentlig förvaltning 
• Rymden 

Viktiga sektorer: 

• Post och budtjänster 
• Avfallshantering 
• Tillverkning, produktion och distribution av kemikalier 
• Produktion, bearbetning och distribution av livsmedel 
• Tillverkning 
• Digitala leverantörer 
• Forskning 

Som ni märker är listan omfattande, och det är inte helt tydligt vilka organisationer som tillhör varje sektor. Dessutom kan organisationer som omfattas av NIS2 välja att införa liknande krav på sina leverantörer. Därför är NIS2 ett direktiv som de flesta av oss bör vara medvetna om och ha kunskap om. När den svenska tolkningen av direktivet är klar kommer vi uppdatera informationen. 

Vilka är de centrala punkterna i NIS2 direktivet?  

NIS2-direktivet innehåller omfattande information, men här kommer en överblick. Som nämnt tidigare är syftet är att åtgärda problem i tidigare regler och se till att vi tar hänsyn till framtidens behov för cybersäkerhet. Det övergripande målet är att höja skyddsnivån för samhällskritiska företag i Europa, minska skillnaderna i cybersäkerhet mellan olika sektorer, och förbättra samarbetet vid incidenter eller kriser mellan olika myndigheter. Här är åtta nyckelpunkter i det nya direktivet som du bör känna till: 

• Större omfattning: Det nya direktivet gäller nu för fler sektorer, beroende på deras nivå av digitalisering och hur viktiga de är för samhället eller ekonomin. Det införs också en tydlig storlekströskel där främst medelstora och stora företag räknas in. EU-länderna har även möjlighet att inkludera mindre enheter om de anser att de har en hög säkerhetsriskprofil i direktivets tillämpningsområde. 
• Slut på åtskillnad: Det nya direktivet tar bort uppdelningen mellan de som hanterar "väsentliga tjänster" och “digitala tjänsteleverantörer.” Istället kommer enheter att klassificeras baserat på deras betydelse och delas in i två kategorier: väsentliga och viktiga enheter, som kommer följa olika tillsynsregimer. 
• Strömlinjeformning av kraven: Det nya direktivet skärper säkerhets- och rapporteringskraven för företag. Det inför en riskhanteringsmetod som kräver en grundläggande lista över säkerhetsåtgärder. Dessutom klargör direktivet hur incidenter ska rapporteras, vad rapporterna bör innehålla och de tidsramar som gäller. 
• Säkerhet i leveranskedjor: NIS2 stärker cybersäkerheten för leveranskedjor och leverantörsrelationer genom att kräva att företag hanterar cyberrisker. Direktivet höjer också cybersäkerheten för viktig IT i leveranskedjor på europeisk nivå. Medlemsländer kan samarbeta med kommissionen och EU:s cybersäkerhetsbyrå (ENISA) för unionskoordinerade säkerhetsriskbedömningar av kritiska leveranskedjor. 
• Skärpta tillsynsregler och sanktioner: Direktivet inför striktare kontrollåtgärder för nationella myndigheter med hårdare krav på genomförande. Målet är att göra sanktionssystemen mer enhetliga i alla medlemsländer. 
• Förbättrat samarbete: Direktivet gör Samarbetsgruppen (för nät- och informationssäkerhet i EU) viktigare för att fatta politiska beslut och ökar informationsutbytet samt samarbetet mellan myndigheter i medlemsländerna. Det gör även det praktiska samarbetet inom CSIRT-nätverket bättre och skapar det europeiska nätverket för samordning av cyberkriser (EU-CyCLONe) för att hjälpa till med att hantera större cybersäkerhetsproblem och kriser. 
• Sårbarhetshantering: NIS2 skapar en grundläggande ram där ansvariga nyckelparter samordnar upptäckten och rapporteringen av sårbarheter i hela EU. Det innebär att det skapas en databas över kända sårbarheter i IT-produkter och tjänster inom EU, och den kommer att hanteras av ENISA. 
• Företagsansvar: NIS2 inför nya krav på ökat engagemang och ansvar från företagsledningen att säkerställa cybersäkerhet. Det innebär att chefer måste övervaka, godkänna, utbildas och hantera risker för organisationens cybersäkerhet. Om de inte uppfyller dessa krav kan de personligen hållas ansvariga och riskerar avstängning från ledande befattningar.  

Hur kan du förbereda dig för NIS2? 

Det första steget för att förbereda sig inför NIS2 är naturligtvis att undersöka om din organisation påverkas, vilket du kan göra genom att granska sektorerna och storleksbegränsningarna. Om så är fallet bör din styrelse och högre ledning antingen skapa (om det inte redan finns) eller förbättra organisationens strategi för cybersäkerhet. Här är sju sätt att komma igång med förberedelserna för att uppfylla kraven enligt NIS2: 

• Gör en plan: Att vara i tid med förberedelserna är viktigt när en organisation ska följa reglerna. Att få stöd från högsta ledningen, engagemang från de som är inblandade, samt nödvändiga pengar och resurser tar tid. Räkna med att det kan bli fördröjningar och bestäm dig för en strikt plan med tydliga deadlines.  
• Utnämn en säkerhetsansvarig: För att säkerställa cybersäkerhet och efterlevnad av NIS2, utse en kompetent person eller grupp med tillgång till resurser. Denna ansvarige bör hantera säkerhetsåtgärder och incidenter effektivt, ha djup kunskap om NIS2-kraven och kontinuerligt uppdatera sig om cybersäkerhetsutvecklingar. Tydligt stöd från ledningen och klara kommunikationskanaler är avgörande för framgång. 
• Genomför sårbarhetsanalys: Genomför noggranna riskbedömningar och sårbarhetsanalyser för att identifiera och utvärdera hot och risker mot organisationens informationssystem och nätverk. Prioritera och vidta sedan åtgärder. 
• Sätt upp en process för incidenthantering: Skapa en tydlig plan för att hantera cybersäkerhetsincidenter, inklusive upptäckt, rapportering och åtgärd. Vidta åtgärder för att minimera konsekvenserna, såsom att skapa backup, isolera smittade system och ha en återställningsplan för snabb återgång till normal drift efter en incident. 
• Inför säkerhetsövervakning: Implementera kontinuerlig övervakning av nätverk och system för att upptäcka intrång eller ovanlig aktivitet. Använd säkerhetslösningar som övervakar trafik, identifierar hot och ger snabba varningar vid avvikande händelser. 
• Börja säkra din IT-leverantörskedja: Granska dina IT-leverantörer, särskilt de som är kritiska för kontinuiteten i dina verksamheter. Genom att förstå sårbarheterna i din IT-leveranskedja och bristerna i din leverantörs säkerhet kan du påbörja den omfattande processen att åtgärda dina kontraktsmässiga, operativa eller tekniska sårbarheter. 
• Utbilda anställda: Höj säkerhetsmedvetenheten hos alla anställda. Genom att erbjuda regelbunden utbildning och medvetenhetsträning kan man minska risken för mänskliga fel och misstag som kan leda till säkerhetsincidenter. 

Checklista för NIS2 

NIS2 innehåller även i nuläget en lista med 10 grundläggande åtgärder som alla påverkade organisationer måste vidta. Gör detta till din checklista och pricka av vad du har på plats. 

• Riktlinjer för riskanalys och säkerhet i informationssystem
• Hantering av incidenter
• Kontinuitet i verksamheten, inklusive säkerhetskopiering, katastrofåterställning och krishantering
• Säkerhet i leveranskedjan, med fokus på säkerhetsfrågor relaterade till förhållandet mellan varje verksamhet och dess direkta leverantörer eller tjänsteleverantörer
• Säkerhet vid anskaffning, utveckling och underhåll av nätverk och informationssystem, inklusive hantering och offentliggörande av sårbarheter.
• Riktlinjer och processer för att bedöma effektiviteten hos åtgärder för hantering av cybersäkerhetsrisker.
• Säker grundläggande praxis för cybersäkerhet och utbildning i cybersäkerhet
• Riktlinjer och förfaranden för användning av kryptografi och eventuell kryptering
• Säkerhet för mänskliga resurser, inklusive policyer för behörighetskontroll och hantering av tillgångar
• Användning av multifaktorautentisering eller lösningar för kontinuerlig autentisering, säker röst-, video- och textkommunikation samt säkrade system för nödkommunikation inom organisationen, vid behov

Vill du veta hur Avima kan hjälpa dig? 

Avima är en skalbar plattform för byggprojekt med effektiva funktioner för projekt-, dokument- och riskhantering, samt ärendehantering. Vår tjänst är flexibel, användarvänlig och säker, vilket minimerar slöseri och säkerställer att alla parter alltid har tillgång till rätt information. 

Vi är en svensk projektplattform med drift hos Axians, certifierade enligt ISO 27001, i en helt redundant och säker miljö fördelad på två olika datahallar i Stockholm. All kommunikation med plattformen sker krypterat, all lagring i Sverige och vi har fått förtroendet av flera verksamheter där säkerheten är av största vikt. 

Vill du veta hur vi kan stötta din säkerhet? Boka en gratis demo idag!