Skip to content
iStock-913017342

Vad innebär NIS2-direktivet? 

NIS (Network and Information Systems Directive) är ett direktiv som syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem, inom den Europeiska unionen. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster, i både privat och offentlig sektor. 
 
NIS2 är en uppdatering av NIS-direktivet, som syftar till att fylla luckorna i det ursprungliga direktivet genom att lägga till nya kritiska tjänstesektorer, stärka säkerhetskraven, reglera säkerheten i leveranskedjan samt öka rapporteringsskyldigheten och efterlevnaden. De 3 huvudmålen med direktivet är: 

  • Att öka motståndskraften mot cyberattacker hos leverantörer av samhällsviktiga tjänster. 
  • Att effektivisera motståndskraften mot cyberattacker genom strängare säkerhetskrav och påföljder.
  • Att förbättra EU:s beredskap för att hantera cyberattacker.

När börjar NIS2-direktivet att gälla? 

Medlemsländerna har till den 17 oktober 2024 på sig att införliva NIS2 i nationell lagstiftning. I Sverige pågår just nu ett delbetänkande kring hur direktivet ska införlivas i svensk lagstiftning. Det nya NIS2-direktivet ska börja tillämpas från den 18 oktober 2024, i samband med att det tidigare NIS-direktivet upphör att gälla. 

iStock-1398491858

Tillämningskrav för NIS2-direktivet 

NIS2-direktivet medför betydande förändringar inom riskhantering och cybersäkerhet, samt skärpta tillämpningskrav. Nedan är några exempel:

  • Strängare krav på leverantörer och säkerhet i hela leveranskedjan för att säkerställa pålitliga och skyddade system.  
  • Utökade krav på rapportering av incidenter för att snabbt kunna agera och åtgärda eventuella intrång eller hot.  
  • Förstärkta säkerhetsåtgärder för att effektivt skydda mot cyberhot och förebygga potentiella attacker.  
  • Nya krav på utförande av riskbedömningar för att identifiera och hantera sårbarheter i systemen. 

Regelefterlevnad och påföljder

Ett tydligt utökat ledningsansvar och hårda sanktioner kommer att tillämpas mot företag och organisationer som inte fullt ut tillämpar efterlevnadskraven inom NIS2. Bland annat riskerar man omfattande ekonomiska påföljder baserade på företagens globala omsättning. Styrande organ kan även hållas personligt ansvariga om inte lagstiftningen efterlevs. 

twoday

Vilka omfattas av NIS2-direktivet?

NIS2 omfattar alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata. Dessa måste även se till att deras leverantörer är säkra. I NIS2-direktivet definieras 11 stycken väsentliga sektorer samt 7 övriga kritiska sektorer. Läs mer om dessa nedan.

11 samhällsviktiga sektorer som omfattas av NIS2-direktivet:

Energi

Sektorn omfattar tjänster inom el, flytande drivmedel och bränslen samt gas.

Transport

Sektorn omfattar tjänster inom luft, järnväg, sjöfart och väg.

Finansmarknad

Sektorn omfattar infrastrukturer för finansmarknaden, operatörer av handelsplatser samt centrala motparter.

Bank

Sektorn omfattar bankverksamhet samt kreditinstitut.

Hälso- och sjukvård

Sektorn omfattar alla organisationer inom hälso- och sjukvården.

Offentlig förvaltning

Sektorn omfattar enheter för offentlig förvaltning i centrala regeringar samt offentlig förvaltning på regional nivå.

Digital infrastruktur

Sektorn omfattar ex. leverantörer av nätverk, molntjänster, datacentertjänster, med flera.

Förvaltning IKT

Sektorn omfattar företag som hanterar IKT-tjänster, leverantörer av hanterade tjänster samt leverantörer av säkerhetstjänster

Rymd

Sektorn omfattar operatörer av markbaserad infrastruktur (vilka ägs, förvaltas och drivs av stater eller av privata parter) och som stöder tillhandahållandet av rymdbaserade tjänster.

Avloppsvatten

Sektorn omfattar företag som samlar in, omhändertar eller behandlar avloppsvatten från tätbebyggelse, hushållsavlopp eller industriellt avlopp som utgör en väsentlig del av den allmänna verksamheten

Dricksvatten

Sektorn omfattar leverans och distribution av dricksvatten.

7 övriga kristiska sektorer som omfattas av NIS2-direktivet:

Avfallshantering

Sektorn omfattar företag som bedriver avfallshantering, med undantag för företag för vilka avfallshantering inte är deras huvudsakliga ekonomiska verksamhet

Kemikalier

Sektorn omfattar företag som bedriver tillverkning, produktion och distribution av kemikalier, ämnen eller blandningar samt företag som bedriver tillverkning av artiklar av ämnen eller blandningar.

Digitala leverantörer

Sektorn omfattar tillhandahållare av onlinemarknadsplatser, sökmotorer samt plattformar för sociala nätverkstjänster.

Elektroniktillverkning

Sektorn omfattar företag som bedriver tillverkning av medicintekniska produkter, datorer, elektroniska och optiska produkter, elektrisk utrustning, maskiner, motorfordon, släpfordon, påhängsvagnar samt andra samt transportmedel.

Forskning

Sektorn omfattar forskningsorganisationer som bedriver tillämpad forskning eller experimentell utveckling med syfte att använda forskningsresultaten för kommersiella ändamål, med undantag för utbildningsinstitutioner.

Livsmedel

Sektorn omfattar livsmedelsföretag som ägnar sig åt grossistförsäljning samt industriell produktion och bearbetning.

Post- och budtjänst

Sektorn omfattar tillhandahållare av posttjänster, inklusive tillhandahållare av kurirtjänster.

6 steg för att bli NIS2-kompatibla

1.

Riskanalys

Genomför en riskanalys för att enklare granska säkerhet och risker i leveranskedjan.

2.

Säkra processer

Säkra era processer genom att upprätta säkerhetspolicys, rutiner och instruktioner.

3.

Övervakning & granskning

Övervaka misstänkt aktivitet regelbundet och spara loggar för att enklare spåra incidenter vid behov.

4.

Utbilda internt

Öka medvetenheten kring cybersäkerhet inom organisationen genom regelbundna utbildningar eller workshops.

5.

Testa och revidera

Genomför regelbundna sårbarhetstester för att enklare kunna identifiera potentiella risker och förbättra era säkerhetsåtgärder.

Ramavtal-adda

Förbered din verksamhet inför NIS2-direktivet

Även om ni omfattas av det nya direktivet eller inte, kan ni som organisation behöva anpassa er till NIS2. Så var börjar man? Vi anser att en bra början är att genomföra en GAP-analys för att bedöma er verksamhets nuläge. 

Vi hjälper er att sammanfatta ert nuläge och säkerställa hur ni påverkas, samt identifierar risker knutna till NIS2-direktivet genom en gedigen GAP och riskanalys.  

  • Bli compliant med NIS2-direktivet 
  • Få ökad kvalitet i ert arbete inom informationssäkerhet
  • Öka den interna kontrollen och stärka kontrollen över leverantörsrisker, för att minska risken för cyberattacker samt vidhålla beredskap och förmåga att hantera incidenter

Avrop via Adda Inköpscentral AB

twoday har ramavtal med Adda Inköpscentral AB, avseende IT-konsulttjänster i Stockholms län, Uppsala län och Gotlands län. Samtliga kommuner, regioner, gemensamma nämnder och bolag (över 170 avropsberättigade parter) kan avropa från ramavtalet.

Läs mer om ramavtalet IT-konsulttjänster 2021 eller kontakta oss med era behov, om ni vill avropa konsultstöd inom detta område.

Kontakta oss

Kontakta oss med era behov via formuläret nedan, så återkopplar vi så fort som möjligt.