Påverkar EU-direktivet “NIS2” er verksamhet?

logo

Av Kaj Johnson

2024-01-27

NIS2-direktivet, ”Network Information Security”, som måste införlivas i nationell lagstiftning av EU:s medlemsländer, i Sverige senast 1 januari 2025, breddar omfattningen av cybersäkerhetskrav till olika sektorer. Det sträcker sig bortom det ursprungliga NIS-direktivet och omfattar inte bara kritiska infrastruktursektorer som energi, transport och hälsovård, utan omfattar även digital infrastruktur, offentlig förvaltning och andra viktiga områden

Vad är ”NIS”?

EU-direktivet ”NIS” trädde i kraft 2016 och var den första EU-omfattande cybersäkerhetslagstiftningen någonsin. Dess främsta mål var att hjälpa EU:s medlemsstater att utveckla avancerade standardfunktioner för cybersäkerhet som skulle göra det möjligt för dem att motstå cyberhot, undvika cyberattacker och säkra sina informationssystem av samhällsviktiga verksamheter, dvs tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

NIS omfattar:

Sjukvård Digital infrastruktur
Transport Vattenförsörjning
Digitala tjänsteleverantörer Bank- och finansieringsrörelser
Energi

 

Vad är ”NIS2”?

”NIS2” utökar bredden av det ursprungliga NIS-direktivet och tvingar fler enheter och sektorer i EU att implementera de nödvändiga cybersäkerhetsåtgärderna. Det tar också upp säkerheten i försörjningskedjor, inkluderar strängare tillämpningskrav och effektiviserar rapporteringsskyldigheten i hela EU. Genom dessa uppdateringar syftar ”NIS2” till att öka den långsiktiga cybersäkerheten i EU.

I ”NIS2” tillkommer följande verksamheter:

Leverantörer av offentliga elektroniska kommunikations nät eller -tjänster Tillverkning av vissa väsentliga produkter, t.ex. läkemedel, medicintekniska produkter och kemikalier
Avloppsvatten och avfallshantering Livsmedel
Digitala tjänster– bl.a. sociala nät-verksplattformar och datacenter Flyg- och rymdteknik
Post- och kurirtjänster Offentlig förvaltning

 

Omfattas er verksamhet av EU-direktivet?

Även om det ibland kan vara svårt att förstå vad som anses samhällskritiskt – det finns också vissa undantag – så är det också så att den som levererar till ett företag som anses samhällskritiskt måste leva upp till kraven!

Med andra ord en motsvarighet till de databehandlingsavtal som leverantörer behöver teckna när det gäller GDPR och detta gör att många drabbas indirekt och att väldigt få går fria.

Syftet med ”NIS2”

Direktivet kategoriserar organisationer som ”väsentliga” eller ”viktiga” ” enheter, där varje kategori står inför olika nivåer av tillsyn och efterlevnadskrav. Viktiga enheter är föremål för strängare regler och potentiellt högre straff för bristande efterlevnad.

Sammantaget syftar ”NIS2”-direktivet till att stärka cybersäkerhetens motståndskraft i hela EU genom att säkerställa att organisationer inom dessa viktiga sektorer inte bara investerar i tekniskt försvar utan också främjar en säkerhetsmedvetenhet bland deras medarbetare.

Genom att utöka omfattningen av NIS och genom att sätta följande mål för EU, syftar ”NIS2” till att stärka EU:s långsiktiga cybersäkerhetskapacitet:

  • Se till att alla offentliga och privata verksamheter vidtar lämpliga cybersäkerhetsåtgärder
  • Öka cybersäkerheten i IKT-försörjningskedjan
  • Implementera konsekventa säkerhets- och incidentrapporteringskrav i alla medlemsstater
  • Genomföra konsekventa administrativa sanktioner när en enhet bryter mot reglerna
  • Uppmuntra nationella myndigheter att dela information för att förbättra situationsmedvetenheten i EU
  • Tilldela tydliga ansvarsområden för att förbättra hur EU förebygger, hanterar och reagerar på cybersäkerhetsincidenter och -kriser

Utbilda och träna användarna

En nyckelaspekt av ”NIS2” är betoningen på säkerhetsmedvetenhet. Detta direktiv erkänner den betydande roll som mänskliga fel spelar i cybersäkerhetsöverträdelser. Det föreskriver att enheter som omfattas av direktivet ska genomföra fortlöpande utbildnings- och medvetenhetsprogram för sin personal.

Detta tillvägagångssätt är kritiskt eftersom traditionella IT-försvar, även om de är nödvändiga, inte är tillräckliga i sig för att motverka cyberhot, eftersom de uppskattas vara endast cirka 26 % effektiva mot potentiella dataintrång.

Historien visar att trots att företag investerar i tekniska lösningar så fortsätter dataintrång att öka.

Personalen är alltså den absolut viktigaste delen i ett cyberförsvar! Det spelar egentligen ingen roll hur starka de övriga delarna är om denna del är svag eller bristfällig.

Utbilda era användare

KnowBe4’s säkerhetsutbildning, som består av världens största bibliotek av innehåll, är ML- och AI-baserat och stödjer 30+ olika språk, är plattformen för att säkra det mänskliga lagret av cyberförsvaret.

Tidplanen

Som en politisk överenskommelse antogs ”NIS2” av Europeiska rådet och Europaparlamentet i november 2022. Båda lagstiftarna undertecknade texten i december 2022 och trädde i kraft i januari 2023.

I Sverige gäller direktivet från 1 januari 2025.

Alla EU-verksamheter med åtminstone vissa digitala verksamheter måste vara medvetna om denna deadline och implementera NIS2-direktiv innan dess, särskilt om de anses nödvändiga enligt NIS2:s definition.

Processen kommer att kräva att verksamheterna slutför flera aktiviteter relaterade till:

  • Riskbedömningar av cybersäkerheten
  • Revision
  • Precedurer för informationssystemsäkerhet
  • Procedurer för incidenthantering
  • Affärskontinuitet och krishantering
  • Säkerhet i leverantörskedjan
  • Sårbarhetsbedömningar, hantering och dokumentation
  • Kryptografi
  • Datakryptering

Eventuella konsekvenser

Kraven i ”NIS2” är juridiskt bindande för de verksamheter som faller under dess ansvarsområde. Medlemsstaterna har rätt att bestraffa verksamheter som inte uppfyller kraven med avskräckande påföljder och administrativa böter. I allmänhet kan företag som inte följer direktivet få böter på upp till 10 miljoner euro eller 2 % av sin totala omsättning i hela världen – beroende på vilket som är högst.

Dessutom kan företag som inte uppfyller kraven tvingas avbryta sin affärsverksamhet tills de uppfyller ”NIS2”-kraven och uppnår 100 % efterlevnad.

Direktivet lägger ytterligare ansvar på företagsledningsorganen för att uppfylla dessa krav, skyldigheter och bestämmelser. Här betyder ”organ” chefer på alla nivåer, inklusive senior- och C-Suite-nivåer. Chefer som inte följer ”NIS2” kan få böter och straffrättsliga påföljder.

Om grov vårdslöshet bevisas efter en cyberincident kan de komma att hållas personligen ansvariga. I händelse av upprepade överträdelser hos en väsentlig enhet kan dess chefer tillfälligt förbjudas att inneha chefsbefattningar.