NIS2 – det nya direktivet för ett säkrare EU. Men vad innebär egentligen NIS2? Vem omfattas? Och vad är skillnaden mot gällande NIS-direktivet? I det här blogginlägget har vi samlat svaret på alla de vanligaste frågorna om NIS2.
Vad är NIS2?
Att säkerhetsläget i Europa har blivit kyligare är (tyvärr) vår nya verklighet. Cybersäkerhet och att se till att våra tjänster och nätverk är skyddade är därför viktigare än någonsin. NIS2 är ett nytt EU-direktiv som syftar till att skapa en mer enhetlig nivå för informationssäkerhet och cybersäkerhet över medlemsstaterna. Det innebär både hårdare och tydligare krav på organisationer att bedriva ett systematiskt informationssäkerhetsarbete. Dessa krav gäller dessutom för fler organisationer än gällande NIS-direktiv.
Direktivet klubbades igenom den 10 november 2022 och i december samma år publicerades det i sin helhet i EU:s officiella tidning. Nu väntar den nationella anpassningen som ska vara klar i oktober 2024. Ett delbetänkande av Utredningen om den nationella anpassningen publicerades den 5:e mars 2024. Förslaget är att NIS2 ska införlivas i svensk rätt genom en ny lag, cybersäkerhetslagen. Dessutom svarade utredningen på en del frågor, exempelvis att kommuner ska omfattas av regleringen.
Vilka organisationer omfattas av NIS2?
Så vem omfattas då? Listan över organisationer som omfattas har blivit längre jämfört med NIS som fram för allt omfattade samhällskritiska verksamheter.
Nytt i NIS2 är att organisationer har delats upp i väsentliga och viktiga entiteter. Vilken kategori organisationen faller under påverkar storleken på de sanktionsavgifter som numera kan utlysas vid överträdelser.
Under väsentliga entiteter faller organisationer inom följande branscher:
- Energi
- Transport
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans av och distribution av dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Rymden
- Offentlig förvaltning
Viktiga entiteter är organisationer som:
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
I Bilaga 1 och 2 i direktivet går det att läsa mer om vad som klassas som väsentlig respektive viktig entitet.
Hur vet ni att ni omfattas av NIS2?
Ett första steg för att ta reda på om ni träffas är att läsa direktivet och se om ni bedriver verksamhet inom någon av de branscher som räknas upp. För att fullt ut kunna svara på om ni omfattas kan dock en djupare analys behöva göras. En start för att göra denna analys är att ställa er följande frågor:
- Hur kritisk är vår verksamhet?
- Vilken typ av tjänst tillhandahåller vi?
- Hur omfattande är verksamheten?
Det bör ge ett svar på hur stor påverkan en störning i er tjänst har på samhället, det vill säga, om ni bedriver en samhällskritisk verksamhet eller inte.
Vilka organisationer omfattas inte av NIS2?
I det nya direktivet listas några typer av organisationer som inte omfattas. Mikro eller småföretag omfattas inte. Men även från detta finns det vissa undantag. Det vill säga, det kan vara så att ni omfattas även om ni är ett mikro- eller småföretag.
Detta undantag gäller om störningar i era tjänster påverkar människors liv och hälsa, den allmänna säkerheten eller är av sådant kritiskt slag att de har särskild betydelse för samhället.
Är det så att ni bedömer att ni inte omfattas krävs en noggrann redogörelse för varför ni har gjort just den bedömningen.
Vad är nytt i NIS2 jämfört med NIS?
NIS2 innebär en hel del uppdatering jämfört med det gällande NIS-direktivet. En högre kravbild och fler som omfattas är ett sätt att använda direktivet som styrmedel för ett säkrare EU. Vi har listat några av de viktigaste nyheterna att beakta.
Sanktionsavgifter vid överträdelse av NIS2
En av nyheterna i NIS2 är att det numera kan utlysas sanktionsavgifter vid brist på efterlevnad av direktivet. Hur stor boten blir avgörs av hur viktig verksamhet som organisationen bedriver och hur allvarlig incidenten är. Om er organisation faller under kategorin väsentlig eller viktig är därför avgörande av hur stor prislappen blir.
För väsentliga entiteter kan avgiften landa på högst 10 MEUR eller 2 % av den globala omsättningen. För viktiga entiteter är sanktionsavgiften högst 7 MEUR eller 1,4 % av den globala omsättningen. För offentliga verksamheter är motsvarande summa 10 MKR.
Ledningen får ett tydligare (personligt) ansvar
Att ledningen är ytterst ansvarig för eventuella organisatoriska överträdelser av lagar och direktiv är ingen nyhet. Men i NIS2 har vad detta ansvar innebär tydliggjorts mer än tidigare.
Direktivet listar numera vad ledningen ska göra för att fullfölja sitt ansvar. Bland annat ska ledningen utbilda sig och öka sin kompetensnivå inom informationssäkerhet. Det står dessutom att man kan bli personligen ansvarig vid bristande informationssäkerhet. Hur detta förhåller sig till andra lagstiftningar som aktiebolagslagen återstår dock att se.
Mer detaljerade krav på säkerhetsåtgärder
I NIS-direktivet står det att organisationer ska bedriva ett systematiskt och kontinuerligt riskbaserat informationssäkerhetsarbete. I det uppdaterade direktivet blir det mycket tydligare än så.
En av de artiklar som tydliggör kraven är artikel 21. Här finns det 10 punkter som organisationen ska leva upp till för att efterleva direktivet. Den sortens konkreta nivå har inte funnits tidigare.
Hur efterlever ni NIS2-direktivet?
Som tidigare nämnt är artikel 21 med sina tio krav en miniminivå för att efterleva det nya direktivet. Se därför till att få de här säkerhetsåtgärderna på plats. Tyvärr räcker det inte att ha kontroll på, förhålla sig till och arbeta systematiskt och följsamt med dessa tio krav. Det finns även andra aspekter av lagen att ta hänsyn till.
Ledningen får ett utökat ansvar. De ska numera utbilda sig i frågan och vara med och besluta och övervaka säkerhetsåtgärder. Detta innebär att det krävs en betydligt bättre struktur för kontinuitet. Det räcker inte med att en gång per år köra en genomgång för ledningsgruppen, andra rutiner behöver komma på plats.
Vad behöver ni förbereda redan nu?
Att det fortfarande är ett tag kvar innan direktivet träder i kraft är ingen anledning att vänta. Mycket av det som ska komma på plats är rutiner och processer. Och dessa är inte på plats i en handvändning. Men vart ska ni börja? Grovt förenklat gör ni detta i tre steg.
1. Gör en ordentlig analys om ni träffas av NIS2
Kanske träffas ni redan av NIS och därför är säkra på att ni omfattas. Om ni hamnar lite mer i gränslandet är det hög tid att ta reda på om ni omfattas. Se våra tips under ”Vilka organisationer omfattas av NIS2”.
2. Gör en GAP-analys
Mät er mot kraven som ställs i NIS2 för att ta reda på hur ni ligger till mot dessa. Genom att mäta er mot kraven brukar åtgärdslistan nästan trilla ut av sig själv. Det blir därför tydligare för er hur mycket och vad som behöver göras för att ni ska efterleva direktivet.
3. Jobba kontinuerligt med NIS2 & inkludera i LIS
Underskatta inte det här steget! Även om ni har gjort saker på kraven i direktivet så ställ er frågan:
Jobbar vi verkligen kontinuerligt med detta? Är ledningsgruppen verkligen involverad i detta? Det är högre krav som ställs och bör inte underskattas.
Höj er kompetens inom NIS2 – från juridik till praktik!
För att lyckas starta upp och leva med NIS2 är kompetens en nyckelfaktor. I vår utbildning lär du dig mer om vad NIS2 innebär för er i praktiken. Du kommer lära dig hur ni avgör om ni omfattas, vad direktivet innebär konkret för er organisation och – fram för allt – hur ni kan arbeta praktiskt och systematiskt med NIS2.
