NIS2-direktivetVad du behöver veta för att säkra din verksamhet!

Det pågår arbete med att fastställa en slutlig tidsfrist för implementeringen av NIS2-direktivet, som ser ut att bli den 1 januari 2025. Detta direktiv är en uppdaterad och utökad version av det ursprungliga NIS-direktivet, som antogs av EU år 2016. Syftet med direktivet är att stärka cybersäkerheten och skydda kritisk infrastruktur, som är avgörande för samhällets funktion och ekonomi. NIS2 inför ett antal nya krav och standarder. Detta är avgörande för att kunna hantera dagens ständigt ökande cyberhot. Läs om hur NIS2 påverkar din verksamhet och vilka åtgärder som måste vidtas för att undvika att riskera böter.

Det här måste du veta om förändringarna från NIS1 till NIS2:

 

Sanktioner i händelse av bristande efterlevnad

NIS2-direktivet måste införas senast den 1 januari 2025. Om ett företag inte uppfyller kraven i NIS2-direktivet, kommer det att innebära betydande böter som kan uppgå till 10 miljoner euro eller 2 % av årsomsättningen, beroende på vilken som är högst.

Utökad omfattning

NIS2 täcker ett bredare spektrum av sektorer och verksamheter, inklusive sjukvård, energi, transport, bank, digital infrastruktur och offentliga förvaltningar.

Stärkt samarbete

Direktivet betonar ökat samarbete och informationsutbyte mellan medlemsstaterna för att bättre hantera cyberhot och -incidenter.

Enhetliga standarder

NIS2 inför enhetliga säkerhetskrav inom hela EU, vilket bidrar till att minska variationerna i hur medlemsstaterna vidtar cybersäkerhetsåtgärder. Detta säkerställer att alla verksamheter som är verksamma inom EU uppfyller samma höga säkerhetsstandarder.

Förbättrad efterlevnadskontroll

Strängare mekanismer för tillsyn och upprätthållandet av säkerhetskrav har införts, vilka inkluderar strängare sanktioner för bristande efterlevnad.

NIS2 utökar omfattningen avsevärt och täcker flera branscher, större företagstyper och har specifika platskrav.

Direktivet utvidgar berörda branscher till att omfatta följande: 

  • Energisektorn (som el, olja och gas) 
  • Transportsektorn (flyg, järnväg, vatten- och vägtransporter) 
  • Bank- och finanssektorn (inklusive försäkrings- och betalningssystem) 
  • Sjukvård (sjukhus, privata kliniker, laboratorier) 
  • Vattenförsörjning och avloppsrening 
  • Digital infrastruktur (internetleverantörer, datalagring, molntjänster) 
  • Offentlig förvaltning (centrala och regionala myndigheter) 

Gäller NIS2 dig? 

Direktivet kräver inte bara att stora företag ska följa nya säkerhetsstandarder, utan även många små och medelstora företag (SMB) som är verksamma inom ovannämnda kritiska sektorer. Kraven gäller särskilt för företag som:

  • Har fler än 50 anställda
  • Har en årlig omsättning eller balans som överstiger 10 miljoner euro
  • Är viktiga för leveranskedjor eller tjänster som anses vara kritiska

Direktivet gäller alla företag som är verksamma inom EU, oavsett om de är baserade inom EU eller inte. Detta innebär att även internationella företag som tillhandahåller tjänster till EU-marknaden måste följa NIS2-kraven. Huvudpunkterna inkluderar:

  • Alla EU:s medlemsstater måste implementera direktivet i sin nationella lagstiftning.
  • Företag utanför EU som tillhandahåller tjänster till kunder inom EU måste uppfylla NIS2-kraven.

Vilka nya krav och standarder måste du förhålla dig till?

Riskbedömning och säkerhetspolicy
Hantering av säkerhetsincidenter och kontinuitetsplaner
Säkerhet och utbildning
Kryptering och underhåll


  • Du måste regelbundet genomföra riskbedömningar för att identifiera och analysera risker som kan påverka säkerheten i nätverks- och informationssystem. Utifrån riskbedömningen måste du se till att lämpliga åtgärder tas fram.


  • Du måste implementera en cybersäkerhetspolicy som täcker organisatoriska och tekniska åtgärder för att skydda dina nätverks- och informationssystem. Åtgärderna ska överensstämma med den risknivå som identifierats genom riskbedömningarna.


  • Du måste upprätta rutiner för att upptäcka, hantera och rapportera säkerhetsincidenter. Du måste ha förmågan att snabbt identifiera och reagera på säkerhetsincidenter, samt vidta återställningsåtgärder för att minska påverkan på system och tjänster.


  • Dessutom krävs utveckling och underhåll av planer för kontinuitet och återställande av tjänster. Detta innebär att man har strategier och processer på plats för att säkerställa snabbt återställande av kritiska funktioner under och efter en incident.


  • Du måste ta hänsyn till säkerheten i leveranskedjan. Detta innebär att säkerställa att deras leverantörer och partners har tillräckliga säkerhetsåtgärder och att de kan hantera cybersäkerhetsrisker på ett effektivt sätt.


  • Du ska också se till att anställda som arbetar med kritiska funktioner får lämplig utbildning i cybersäkerhet. Det uppmuntras också att man främjar en organisationskultur som är medveten om cybersäkerhet.


  • Implementering av kryptografiska metoder för att skydda data under lagring och överföring är ett krav. Din organisation måste se till att lämpliga krypteringstekniker används för att skydda sekretessen, integriteten och tillgängligheten hos data.


  • Du måste också se till att säkerheten är integrerad under hela livscykeln för system och applikationer – från design till avveckling. Det innebär också att man säkerställer att systemen uppdateras och underhålls regelbundet för att skydda mot nya hot.

    • Utöver NIS2-direktivet inför EU flera viktiga förordningar för att stärka den digitala säkerheten och reglera ny teknik. CER (Critical Entities Resilience Directive) fokuserar på att förbättra robustheten hos kritiska enheter mot både fysiska och digitala hot, medan AI Act fastställer regler för användning och utveckling av artificiell intelligens för att säkerställa att AI-system är säkra och respekterar grundläggande rättigheter. Dessa åtgärder kompletterar NIS2 och återspeglar EU:s övergripande strategi för att hantera utmaningar i det digitala landskapet.

    Läs mer om NIS2-direktivet här: https://www.nis-2-directive.com

    Vill du veta mer?

    Kontakta oss för ett förutsättningslöst samtal om hur våra tjänster och IT-lösningar optimerar och effektiviserar din verksamhet!

    Et skjema ble skjult fordi det krever informasjonskapsler for statistikk og markedsføring godkjennes for å lastes inn. Vennligst klikk her for å oppdatere dine preferanser for å se skjemaet.

    Webbinarium

    Moderna molnbaserade SaaS-lösningar för kritisk infrastruktur

    Se även webbinariet ”Moderna molnbaserade SaaS-lösningar for kritisk infrastruktur” med produktchefen på Embriq, Jens Haug, och Principal Security Strategist på AWS, Paul Ahlgren. Här får du höra mer om hur nuvarande och kommande säkerhets- och efterlevnadskrav uppfylls, inklusive NIS2-direktivet.

    Läs mer

    Kontaktpersoner

    • Jens Haug

      Produkt- och plattformschef

      (+47) 913 61 495

      Kontakta mig

    Et skjema ble skjult fordi det krever informasjonskapsler for statistikk og markedsføring godkjennes for å lastes inn. Vennligst klikk her for å oppdatere dine preferanser for å se skjemaet.