Vad är ”NIS”?
EU-direktivet ”NIS” trädde i kraft 2016 och var den första EU-omfattande cybersäkerhetslagstiftningen någonsin. Dess främsta mål var att hjälpa EU:s medlemsstater att utveckla avancerade standardfunktioner för cybersäkerhet som skulle göra det möjligt för dem att motstå cyberhot, undvika cyberattacker och säkra sina informationssystem av samhällsviktiga verksamheter, dvs tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
NIS omfattar:
Sjukvård | Digital infrastruktur |
Transport | Vattenförsörjning |
Digitala tjänsteleverantörer | Bank- och finansieringsrörelser |
Energi |
Vad är ”NIS2”?
”NIS2” utökar bredden av det ursprungliga NIS-direktivet och tvingar fler enheter och sektorer i EU att implementera de nödvändiga cybersäkerhetsåtgärderna. Det tar också upp säkerheten i försörjningskedjor, inkluderar strängare tillämpningskrav och effektiviserar rapporteringsskyldigheten i hela EU. Genom dessa uppdateringar syftar ”NIS2” till att öka den långsiktiga cybersäkerheten i EU.
I ”NIS2” tillkommer följande verksamheter:
Leverantörer av offentliga elektroniska kommunikations nät eller -tjänster | Tillverkning av vissa väsentliga produkter, t.ex. läkemedel, medicintekniska produkter och kemikalier |
Avloppsvatten och avfallshantering | Livsmedel |
Digitala tjänster– bl.a. sociala nät-verksplattformar och datacenter | Flyg- och rymdteknik |
Post- och kurirtjänster | Offentlig förvaltning |
Omfattas er verksamhet av EU-direktivet?
Även om det ibland kan vara svårt att förstå vad som anses samhällskritiskt – det finns också vissa undantag – så är det också så att den som levererar till ett företag som anses samhällskritiskt måste leva upp till kraven!
Med andra ord en motsvarighet till de databehandlingsavtal som leverantörer behöver teckna när det gäller GDPR och detta gör att många drabbas indirekt och att väldigt få går fria.
Syftet med ”NIS2”
Direktivet kategoriserar organisationer som ”väsentliga” eller ”viktiga” ” enheter, där varje kategori står inför olika nivåer av tillsyn och efterlevnadskrav. Viktiga enheter är föremål för strängare regler och potentiellt högre straff för bristande efterlevnad.
Sammantaget syftar ”NIS2”-direktivet till att stärka cybersäkerhetens motståndskraft i hela EU genom att säkerställa att organisationer inom dessa viktiga sektorer inte bara investerar i tekniskt försvar utan också främjar en säkerhetsmedvetenhet bland deras medarbetare.
Genom att utöka omfattningen av NIS och genom att sätta följande mål för EU, syftar ”NIS2” till att stärka EU:s långsiktiga cybersäkerhetskapacitet:
- Se till att alla offentliga och privata verksamheter vidtar lämpliga cybersäkerhetsåtgärder
- Öka cybersäkerheten i IKT-försörjningskedjan
- Implementera konsekventa säkerhets- och incidentrapporteringskrav i alla medlemsstater
- Genomföra konsekventa administrativa sanktioner när en enhet bryter mot reglerna
- Uppmuntra nationella myndigheter att dela information för att förbättra situationsmedvetenheten i EU
- Tilldela tydliga ansvarsområden för att förbättra hur EU förebygger, hanterar och reagerar på cybersäkerhetsincidenter och -kriser
Utbilda och träna användarna
En nyckelaspekt av ”NIS2” är betoningen på säkerhetsmedvetenhet. Detta direktiv erkänner den betydande roll som mänskliga fel spelar i cybersäkerhetsöverträdelser. Det föreskriver att enheter som omfattas av direktivet ska genomföra fortlöpande utbildnings- och medvetenhetsprogram för sin personal.
Detta tillvägagångssätt är kritiskt eftersom traditionella IT-försvar, även om de är nödvändiga, inte är tillräckliga i sig för att motverka cyberhot, eftersom de uppskattas vara endast cirka 26 % effektiva mot potentiella dataintrång.
Historien visar att trots att företag investerar i tekniska lösningar så fortsätter dataintrång att öka.
Utbilda era användare
KnowBe4’s säkerhetsutbildning, som består av världens största bibliotek av innehåll, är ML- och AI-baserat och stödjer 30+ olika språk, är plattformen för att säkra det mänskliga lagret av cyberförsvaret.
Tidplanen
Som en politisk överenskommelse antogs ”NIS2” av Europeiska rådet och Europaparlamentet i november 2022. Båda lagstiftarna undertecknade texten i december 2022 och trädde i kraft i januari 2023.
I Sverige gäller direktivet från 1 januari 2025.
Alla EU-verksamheter med åtminstone vissa digitala verksamheter måste vara medvetna om denna deadline och implementera NIS2-direktiv innan dess, särskilt om de anses nödvändiga enligt NIS2:s definition.
Processen kommer att kräva att verksamheterna slutför flera aktiviteter relaterade till:
- Riskbedömningar av cybersäkerheten
- Revision
- Precedurer för informationssystemsäkerhet
- Procedurer för incidenthantering
- Affärskontinuitet och krishantering
- Säkerhet i leverantörskedjan
- Sårbarhetsbedömningar, hantering och dokumentation
- Kryptografi
- Datakryptering
Eventuella konsekvenser
Kraven i ”NIS2” är juridiskt bindande för de verksamheter som faller under dess ansvarsområde. Medlemsstaterna har rätt att bestraffa verksamheter som inte uppfyller kraven med avskräckande påföljder och administrativa böter. I allmänhet kan företag som inte följer direktivet få böter på upp till 10 miljoner euro eller 2 % av sin totala omsättning i hela världen – beroende på vilket som är högst.
Dessutom kan företag som inte uppfyller kraven tvingas avbryta sin affärsverksamhet tills de uppfyller ”NIS2”-kraven och uppnår 100 % efterlevnad.
Direktivet lägger ytterligare ansvar på företagsledningsorganen för att uppfylla dessa krav, skyldigheter och bestämmelser. Här betyder ”organ” chefer på alla nivåer, inklusive senior- och C-Suite-nivåer. Chefer som inte följer ”NIS2” kan få böter och straffrättsliga påföljder.
Om grov vårdslöshet bevisas efter en cyberincident kan de komma att hållas personligen ansvariga. I händelse av upprepade överträdelser hos en väsentlig enhet kan dess chefer tillfälligt förbjudas att inneha chefsbefattningar.
Källor:
Nya säkerhetslagen snart här – men svenska företag är inte på banan
NIS2 Directive Compliance Guide
Beskrivning av säkerhetsutbildningen:
Säkerhetsutbildning