In English
Hero image

NIS2-direktivet

NIS2-direktivet

Ökade krav på samhällsviktiga funktioner

NIS-direktivet trädde i kraft i augusti 2018, med syftet att etablera och upprätthålla en hög säkerhetsnivå i samhällsviktiga nätverk och informationssystem inom hela EU. Som en följd av den ökade digitaliseringen och de hot den medför har EU-kommissionen valt att presentera ett reviderat förslag, kallat NIS2. Det nya förslaget trädde i kraft i december 2020, och innebär bland annat ökade krav på risk- och incidenthantering, rapportering av dessa samt kontinuerlig säkerhetstestning. Utöver det omfattas nu även fler sektorer av regleringen, samt eventuella leverantörer och underleverantörer.

Content image

Berörda sektorer

Det ursprungliga NIS-direktivet omfattade sektorer inom i två kategorier; leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. I kategorin samhällsviktiga leverantörer ingår sju sektorer; energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. I kategorin leverantörer av digitala tjänster ingår aktörer som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.

Content image

Fler aktörer omfattas när NIS blir NIS2

När NIS-direktivet nu ersätts med NIS2 kommer fler sektorer omfattas av regleringen. En ytterligare förändring är att sektorerna nu klassificeras som antingen ”väsentliga entiteter” eller ”viktiga entiteter”.

De sektorer som nu har adderats är;
-       Avloppshantering
-       Avfallshantering
-       Fjärrvärme eller fjärrkyla, vätgas
-       Livsmedel
-       Offentlig förvaltning
-       Tillverkningsindustrin
-       Postverksamhet
-       Rymdverksamhet

Krav

Vilka säkerhetskrav ställer NIS2?

Riskbedömning

Berörda verksamheter ska bedöma säkerhetsrisker som är förknippade med deras tjänster och genomföra lämpliga åtgärder för att hantera dessa.

Incidenthantering

Berörda verksamheter ska ha en plan för hur potentiella cybersäkerhetsincidenter ska hanteras och hur tjänsterna kan återställas så snabbt som möjligt.

Säkerhetsåtgärder

Berörda verksamheter ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina nätverk och informationssystem, exempelvis genom säkerhetstesting.

Incidentrapportering

Berörda verksamheter ska rapportera allvarliga säkerhetsincidenter till den nationella myndigheten för cybersäkerhet så snabbt som möjligt.

Leverantörssäkerhet

Berörda verksamheter ska säkerställa säkerhet i hela leveranskedjan genom hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer och tjänsteleverantörer.

Samarbete

Berörda verksamheter ska samarbeta med nationella myndigheter för cybersäkerhet och andra tjänsteleverantörer för att hantera incidenter och utbyta information om hot och sårbarheter.

Content image

Konsekvenser vid överträdelse

NIS2-direktivet godkändes i december 2022, och medlemsstaterna i Europeiska unionen (EU) har därefter 21 månader på sig, alltså till oktober 2024, att införliva direktivet i nationell lagstiftning. Om berörda aktörer därefter inte efterlever kraven i NIS2 kan det resultera i sanktioner på upp till 10 miljoner euro eller 2 % av den totala globala årsomsättningen. Dessa sanktioner kan variera från böter och varningar till företagsförbud och andra rättsliga påföljder. Även utebliven rapportering av allvarliga säkerhetsincidenter kan leda till påföljder och sanktioner. 

mer läsning

Relaterat material

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.