Syftet med NIS 2 är att åtgärda brister med NIS-regelverket för att stärka och skapa en hög cybersäkerhetsnivå för samtliga medlemsstater i EU. Revideringen genomfördes som ett svar på det alltmer ökande antalet cyberhot och incidenter i EU.
Med NIS 2 omfattas fler sektorer än tidigare. De sektorer som inkluderas är medicintekniska produkter, digitala tjänster, avfallshantering, energisektorn, kemisk produktion och distribution, offentlig förvaltning och rymden.
Med NIS 2 inkluderas även underleverantörer, vars tillgång till kritisk infrastruktur är avgörande. NIS 2 tar även bort skillnaden mellan samhällsviktiga verksamheter och digitala tjänster.
NIS 2 utvidgar tillämpningsområdet för regleringen genom att omfatta flera sektorer, och genom striktare krav för incidentrapportering och incidenthantering. Utöver de obligatoriska rapporteringskraven innehåller NIS 2 ett antal andra åtgärder som syftar till att förenkla processen. Exempelvis kommer företag som är drabbade av någon form av cyberincident att behöva lämna in en första notifiering inom 24 timmar. Genom att skärpa tidsgränsen och kraven kring rapportering ges en mer korrekt bild av händelsen och nuläget, samt att stärka arbetet för att förhindra framtida incidenter.
NIS 2 innehåller ökade påföljder för bristande efterlevnad vilket kan leda till en sanktionsavgift som är varierande beroende på organisationers storlek och globala intäkter. Påföljderna beskrivs i artikel 29, 30 och 31 i den förslagna texten.
NIS 2 introducerar ett mandat för att inrätta ett nätverk för cyberkrisförbindelser (CyCLONe). Syftet med detta är att främja samarbete mellan medlemsstaterna mot storskaliga cyberkriser. Detta kommer göra det möjligt för medlemsstaterna att systematiskt dela information, utbyta kunskap och bästa tillvägagångsätt.
Med ett ramverk för samarbete och informationsutbyte mellan organisationer i samtliga medlemsländer ökar den övergripande cybersäkerhetsnivån inom EU.
