Den 18 oktober 2024 träder NIS2-direktivet i kraft i EU och ersätter det ursprungliga NIS-direktivet. Det uppgraderade direktivet har som syfte att förbättra den kollektiva cybersäkerheten inom medlemsländerna. Det innebär att fler organisationer måste uppfylla strängare krav på cybersäkerhet. I den här artikeln ger vi dig en sammanfattning av NIS2, du får reda på vad det handlar om, huruvida direktivet berör din organisation och vad du i så fall bör göra. Vilka nya säkerhetskrav ställs på dessa organisationer och vad krävs för att uppfylla de nya kraven? Hur kommer man igång med efterlevnad av NIS-lagen?
Vad är de stora förändringarna i NIS2?
- Fler sektorer av organisationer kommer att beröras.
- Det kommer införas minimikrav för åtgärder.
- Mer precisa rapporteringskrav kommer att implementeras.
Omfattas din organisation av det nya NIS-direktivet?
NIS-direktivet kom till för att höja unionens nivå av säkerhet inom nätverk och informationssystem för samhällsviktiga tjänster. I NIS-direktivet omfattades nedan sektorer vilka är oförändrade även i NIS2:
Väsentliga enheter:
- Energi
- Transporter
- Bankverksamhet
- Infrastruktur för finansmarknaden
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Digital infrastruktur
Från det första direktivet har det dock identifierats att ännu fler sektorer behöver inkluderas och därför har man utvidgat det till att även omfatta:
Andra viktiga enheter:
- Avloppsvatten
- Förvaltning av IKT-tjänster
- Offentlig förvaltning
- Rymdtjänster
- Post och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning av vissa väsentliga produkter såsom läkemedel
- Digitala leverantörer såsom sociala nätverksplattformar
- Forskning
Organisationer delas också in i väsentliga och viktiga entiteter, baserat på deras betydelse för sektorn de tillhör, samt deras storlek.
Vad händer om NIS2-direktivet inte gäller mig?
Vilka verksamheter som faktiskt ingår i varje sektor är inte helt tydligt och även om din organisation inte kommer att behöva följa NIS2-direktivet kanske du ändå ska överväga att bygga upp ditt säkerhetsarbete så att det överensstämmer med direktivet. De organisationer som omfattas av NIS2 är många och dessa organisationer måste se till att även deras leverantörer är säkra. Detta innebär att många företag i slutändan kommer att behöva följa NIS2-direktivet eftersom de företag de arbetar med gör det. Därmed är NIS2 ett direktiv de flesta av oss bör ha koll på.
Tio grundläggande säkerhetsåtgärder som krävs enligt NIS2
Enligt NIS2 måste organisationer vidta lämpliga och proportionerliga riskhanteringsåtgärder för att förhindra säkerhetsincidenter och minimera deras effekter. NIS2 innehåller en lista med 10 grundläggande åtgärder som alla organisationer måste vidta:
- Riktlinjer för riskanalys och säkerhet i informationssystem
- Hantering av incidenter
- Kontinuitet i verksamheten, t.ex. säkerhetskopiering och katastrofåterställning, samt krishantering.
- Säkerhet i leveranskedjan, inklusive säkerhetsrelaterade frågor som rör förhållandet mellan varje verksamhet och dess direkta leverantörer eller tjänsteleverantörer.
- Säkerhet vid anskaffning, utveckling och underhåll av nätverk och informationssystem, inklusive hantering och offentliggörande av sårbarheter.
- Riktlinjer och processer för att bedöma hur effektiva åtgärderna för hantering av cybersäkerhetsrisker är.
- Säker grundläggande praxis för cybersäkerhet och utbildning i cybersäkerhet
- Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering
- Säkerhet för mänskliga resurser, policyer för behörighetskontroll och hantering av tillgångar
- Användning av multifaktorautentisering eller lösningar för kontinuerlig autentisering, säker röst-, video- och textkommunikation samt säkrade system för nödkommunikation inom organisationen – i förekommande fall.