Det nya NIS 2-regelverket är här och det innebär högre säkerhetskrav för fler företag, myndigheter och organisationer än det ursprungliga regelverket. Fler sektorer omfattas och de som slarvar kommer att få en sanktionsavgift. Men vad betyder detta egentligen för er organisation och vad behöver ni göra för att anpassa er till det nya regelverket? Här får ni svaren och 10 tips för att klara omställningen till NIS 2.
Nyligen antogs det nya NIS 2-regelverket (Directive on Security of Network and Information Systems) av EU-rådet, som kommer att ställa högre krav på cybersäkerhet för företag, myndigheter och organisationer än det ursprungliga regelverket. Regelverket är tänkt att ersätta det nuvarande NIS-regelverket (direktiv (EU) 2016/1148) och kommer att träda i kraft 20 dagar efter att det har publicerats i EU:s officiella tidning. EU-länderna har därefter 21 månader på sig att införa det i nationell lagstiftning.
NIS 2-regelverket är tänkt att vara en harmonisering av de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland. Förteckningen över sektorer och verksamheter som omfattas av cybersäkerhetsskyldigheter uppdateras och korrigerande åtgärder och sanktioner föreskrivs för att garantera att lagstiftningen följs. Genom regelverket inrättas också Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och cyberkriser.
Bakgrunden till NIS-regelverket
NIS-regelverket från EU ligger till grund för nationell lagstiftning om informations- och nätverkssäkerhet. Det berör i sitt nuvarande utförande samhällsviktiga och digitala tjänster, inom både privat och offentlig sektor. NIS 2 är en utveckling av det befintliga regelverket och syftar till att regelverket ska bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna för att på så sätt möta rådande och framtida säkerhetsbehov.
Ett av de viktigaste skälen till att NIS 2 införs är att det ska skapa en högre gemensam nivå av cybersäkerhet i hela EU. Det innebär att alla medlemsländer ska ha samma regler och krav på informationssäkerhet. NIS 2 kommer att omfatta fler sektorer än det tidigare direktivet och det kommer också att gälla för fler företag och organisationer.
Vilka sektorer omfattas av NIS 2-regelverket
Sektorer som omfattas av NIS 2 inkluderar energi, transport, hälso- och sjukvård, digital infrastruktur och offentliga förvaltningar på central och regional nivå. Men det finns undantag, som försvar, nationell säkerhet, allmän säkerhet och brottsbekämpning som inte omfattas av direktivet. Rättsväsende, parlament och centralbanker omfattas inte heller.
En av de största förändringarna med det nya regelverket är att fler sektorer och branscher kommer att påverkas. Regelverket omfattar nu även leverantörer och underleverantörer av samhällsviktiga tjänster, såsom energi, transport, hälso- och sjukvård samt digital infrastruktur. Det innebär att fler företag och organisationer kommer att vara skyldiga att uppfylla kraven i regelverket.
Ökade sanktioner med NIS 2
En annan viktig förändring är att det kommer att införas böter för de som inte följer regelverkets krav. Böterna kan uppgå till 2% av omsättningen eller 10 miljoner euro, vilket är betydande summor. Detta visar på att EU menar allvar med att öka cybersäkerheten i EU-länderna.
NIS 2-regelverket är ett av EU:s viktigaste steg mot en högre nivå av cybersäkerhet. Det är ett regelverk som syftar till att skapa en gemensam nivå av cybersäkerhet inom EU, samt att harmonisera medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Regelverket kommer att gälla för flera sektorer, inklusive energi, transport, hälso- och sjukvård samt digital infrastruktur.
Ett av de viktigaste syftena med NIS 2-regelverket är att skapa en högre nivå av riskhantering och rapporteringskrav för cyberområdet i alla sektorer som omfattas av regelverket. Detta innebär att företag och organisationer som verkar inom dessa sektorer kommer att behöva anpassa sig till de nya reglerna och följa dem för att undvika böter och sanktioner.
Hur anpassar man sig till NIS 2 – 5 tips
För att kunna anpassa er organisation till NIS 2-regelverket kommer ni behöva ta hänsyn till flera olika aspekter av er verksamhet, inklusive riskhantering, rapportering, incidenthantering och kontinuitetsplanering. Ni kommer också behöva utbilda er personal och öka deras medvetenhet om cybersäkerhet och de nya reglerna.
Här är fem tips för er som ska anpassa er organisation till NIS 2-regelverket:
- Utför en riskbedömning: Genomför en noggrann riskbedömning av er verksamhet för att identifiera de områden som är mest känsliga för cyberattacker och andra säkerhetshot.
- Uppdatera er incidenthanteringsplan: Se till att er incidenthanteringsplan är uppdaterad och i enlighet med de nya kraven i NIS 2-regelverket.
- Utbilda er personal: Se till att er personal är väl utbildad i cybersäkerhet och de nya reglerna i NIS 2-regelverket. Det är viktigt att alla anställda i organisationen är medvetna om NIS 2-regelverket och vad det innebär för deras roll och ansvar. Utbildning och kommunikation är avgörande för att säkerställa att alla förstår och följer de nya reglerna.
- Uppdatera avtal och affärsrelationer: NIS 2-regelverket kan ha konsekvenser för era avtal med andra företag och organisationer. Se över och uppdatera avtalen så att de överensstämmer med de nya kraven.
- Följ upp och förbättra: Det är viktigt att kontinuerligt följa upp och utvärdera eran organisations cybersäkerhetsåtgärder. Detta gör det möjligt att identifiera eventuella brister och göra nödvändiga förbättringar för att säkerställa att ni uppfyller kraven i NIS 2-regelverket.
