NIS2-direktivet är ett gemensamt ramverk för cybersäkerhet inom EU som syftar till att säkra den digitala ekonomin och öka säkerhetsnivån i en tid av snabb digital tillväxt. Läs mer om hur NIS2 kan komma att påverka din verksamhet.
null

Även om NIS2 bygger på det tidigare EU-direktivet för säkerhet i nätverks- och informationssystem från 2016 är det uppenbart att EU:s inställning till cybersäkerhet har genomgått en radikal förändring. Här ställs bland annat tydliga krav på ett robust skydd för kritiska sektorer, något som ska förverkligas genom säkrare nätverk, större motståndskraft hos samhällsviktig infrastruktur och ett enhetligt ramverk för cybersäkerhet med krav på snabbare incidentrapportering.

I många europeiska länder är lagstiftningsarbetet i full gång och i de nordiska länderna väntas direktivet att börja införlivas i nationell lagstiftning under 2025. NIS2-direktivet är inte bara ytterligare en lag som stora företag måste följa – det är också en möjlighet att säkerställa att den egna verksamheten lever upp till dagens krav på cybersäkerhet.

Här sammanfattar vi det du behöver veta om NIS2-direktivet och hur lagstiftningen kommer att se ut på nationell nivå, så att du lättare kommer igång med arbetet att säkerställa en högre cybersäkerhetsnivå.

Vilka konsekvenser får NIS2 för affärslandskapet i Norden?

De nordiska länderna är nyckelspelare i Europas digitala ekonomi, med en stark tekniksektor och en avancerad digital infrastruktur. I takt med att länderna flätas samman allt tätare och antalet cyberattacker mot samhällsviktig infrastruktur ökar, blir behovet av robusta och enhetliga cybersäkerhetsbestämmelser allt tydligare i regionen.

NIS2 innebär en värdefull möjlighet att stärka regionens motståndskraft mot cyberhot och öka stabiliteten i den nordiska digitala ekonomin. Dessutom kommer NIS2-direktivet att påverka alla verksamheter i Europa, särskilt de som tillhandahåller produkter och tjänster inom Europeiska samarbetsområdet (EES).

Alla de nordiska länderna, även de som inte är medlemmar i EU, håller nu på att anpassa sin lagstiftning efter NIS2-direktivet. Sverige kommer troligen att vara först ut med att införa en ny cybersäkerhetslag under 2025 och det dröjer inte länge innan övriga länder följer efter. Företag i hela regionen måste anpassa sig efter de nya, hårdare lagkraven och intensifiera sitt cybersäkerhetsarbete.

Fler företag inom fler sektorer berörs av NIS2

NIS2-direktivet omfattar alla företag och organisationer som är verksamma inom EES och inom någon av de sektorer som listas nedan, inklusive leverantörer av kritisk infrastruktur och offentliga organ. Även underleverantörer och företag i leverantörskedjan måste se till att leva upp till bestämmelserna i NIS2. Med andra ord berörs betydligt fler av det nya regelverket och det har en mycket bredare tillämpning än det tidigare NIS-direktivet.

NIS2-direktivet täcker dessutom in sammanlagt 18 sektorer, mot NIS-direktivets sju. Sektorerna är indelade i väsentliga och viktiga entiteter.

Väsentliga entiteter är högkritiska sektorer där en störning kan innebära en betydande ekonomisk påverkan. Till den här kategorin räknas bland annat:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn, inklusive tillverkning av läkemedel och vaccin
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur och tillhörande tjänsteleverantörer
  • Förvaltning av IKT-tjänster
  • Offentlig förvaltning

Viktiga entiteter är andra kritiska sektorer som till exempel:

  • Post- och budtjänster
  • Avfallshantering
  • Kemikalier
  • Livsmedel
  • Tillverkning av produkter, elektronik, maskiner, fordon och utrustning
  • Digitala leverantörer, inklusive sociala nätverksplattformar, marknadsplatser online och sökmotorer
  • Forskningsorganisationer

För att kunna leva upp till de nya kraven måste du veta till vilken kategori din verksamhet hör.

De viktigaste NIS2-kraven: detta måste företagen göra

Kraven i NIS2-direktivet är uppdelade i fyra huvudområden: riskhantering, rapporteringsskyldighet, driftskontinuitet och ansvarsskyldighet.

Förbättrad riskhantering på cybersäkerhetsområdet

Företagen förväntas fokusera på att arbeta förebyggande med att minska cyberriskerna, till exempel genom att sätta upp starka ramverk för risker, stärka säkerheten i leveranskedjan, förbättra nätverkssäkerheten och öka åtkomstkontrollen genom flerfaktorsautentisering och kryptering.

Krav på incidentrapportering inom ett dygn

Direktivet uppmanar företagen att ta fram effektiva processer så att de snabbt kan rapportera säkerhetsincidenter som skulle kunna påverka deras tjänster. Om det sker ett stort dataintrång som påverkar tillgänglighet och konfidentialitet, förväntas företaget rapportera incidenten inom 24 timmar och sedan komma med detaljerade uppdateringar inom 72 timmar för att uppfylla riktlinjerna för rapportering enligt NIS2.

Robust plan för driftskontinuitet

Organisationer bör utarbeta en plan för driftskontinuitet i händelse av stora cyberincidenter. Det innebär bland annat att inrätta en enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utgör en gemensam kontaktpunkt, utbilda anställda i nationella beredskapsåtgärder, att ha en krisplan, se till att säkerhetskopiorna är aktuella och att det går att komma åt it-systemen under och efter en incident.

Samarbete inom EU och internationellt

Jämfört med det tidigare direktivet förespråkas i NIS2 närmare samordning med nationella och internationella myndigheter. Målet är att EU-länderna ska kunna reagera snabbare och mer samordnat på cyberhot. Direktivet ställer också upp krav på att medlemsstaterna utarbetar en plan för samordnad delgivning av information om sårbarheter och att en europeisk sårbarhetsdatabas upprättas, för att identifiera och sammanställa tidigare och pågående sårbarheter.

Den svenska cybersäkerhetslagen: robusta åtgärder för ökad cybersäkerhet

Den nya svenska cybersäkerhetslagen innebär en tydlig anpassning efter kraven i NIS2, samtidigt som den innehåller strategier som återspeglar prioriteringar och teknisk kompetens på nationell nivå.

Tanken är att lagen ska fokusera på motståndskraft snarare än försvar och lagförslaget innehåller flera åtgärder för att förbättra cybersäkerheten i Sverige. MSB kommer att ha ett samordningsansvar och vara gemensam kontaktpunkt för tillsynsmyndigheter och verksamhetsutövare (dit även företag räknas). Några viktiga förändringar när den nya lagen träder i kraft:

Fler sektorer

För bättre skydda den digitala ekonomin i Sverige kommer den nya lagen att utökas till 18 sektorer – mot dagens sju – och omfatta all samhällsviktig infrastruktur som till exempel avloppsvatten, offentlig förvaltning, rymden, post- och budtjänster och tillverkning. Sektorerna delas upp i väsentliga och viktiga, enligt definitionen i NIS2-direktivet. Men dessa klassificeringar gäller hela organisationer och inte bara kritiska sektorer inom en viss organisation. Detta innebär att den svenska lagen får ännu större räckvidd.

Dessutom omfattar lagen både offentliga organisationer och privata verksamheter med mer än 50 anställda eller en omsättning på över tio miljoner euro. Mindre företag kan också komma att omfattas, om MSB bedömer att deras verksamhet är samhällsviktig.

Ledningsansvar

De nya bestämmelserna innebär att personer i ledningen hålls direkt ansvariga för att implementera och underhålla säkerhetsåtgärder. Vid allvarliga brister ska myndigheter kunna kräva att en person inte längre får utöva sin ledningsfunktion.

Tillsynsmyndigheter

Företag och organisationer måste vidta riskbaserade säkerhetsåtgärder och registrera sig hos den tillsynsmyndighet som ansvarar för den aktuella sektorn, till exempel Statens energimyndighet, för att få tydliga och samordnade riktlinjer.

Säkerhet i leveranskedjan

I den nya lagen omfattar cybersäkerhet även leveranskedjan och företag och organisationer måste reglera cybersäkerhetsåtgärder i avtalen med sina leverantörer.

Incidentrapportering

Allvarliga incidenter måste rapporteras till MSB inom ett dygn, detaljerade uppgifter ska lämnas inom tre dygn och en slutrapport inom en månad.

Sanktionsavgifter

Den svenska lagen kommer att följa de sanktionsavgifter som gäller enligt NIS2, vilket innebär att den som bedriver samhällsviktig verksamhet och inte lever upp till kraven kan tvingas betala upp till tio miljoner euro eller 2% av den globala omsättningen, beroende på vilken summa som är störst.

Strategiska överväganden för personer i företagsledningen

Både NIS2-direktivet och den svenska cybersäkerhetslagen betonar ledningens ansvar i att skapa en robust miljö med fokus på cybersäkerhet och det är tydligt att man anser att det är ledningens uppgift att stärka organisationens digitala motståndskraft.

För att vara väl förberedda på det ökade ansvaret bör ledande befattningshavare tänka på följande:

Proaktiva åtgärder för säkerhetshantering

Genom att göra en genomlysning av befintliga cybersäkerhetsåtgärder blir det lättare för personer med ledningsansvar att visa att de har implementerat de säkerhetskontroller som krävs i den egna verksamheten.

Uppfylla kraven i god tid

Verksamheter som kan komma att omfattas av NIS2 kan förbereda sig på de nya kraven genom att:

  • Ta reda på om de faller under NIS2-direktivet och vilka delar av verksamheten som påverkas
  • Gå igenom och uppdatera säkerhetsåtgärder och riktlinjer så att dessa överensstämmer med NIS2-kraven
  • Införa nya säkerhetsprotokoll och krav på incidentrapportering i leveranskedjan

Sanktionsavgifter vid bristande efterlevnad

NIS2 innebär kännbara böter för de verksamheter som inte uppfyller kraven i direktivet. Väsentliga entiteter kan tvingas betala upp till tio miljoner euro eller 2 % av den globala omsättningen, beroende på vilken summa som är högst, medan viktiga entiteter kan påföras en sanktionsavgift på sju miljoner euro eller 1,4 % av den globala omsättningen, beroende på vilken summa som är högst.

Ta hjälp av Gallagher för att öka cyberresiliensen

Det framväxande regelverket för cybersäkerhet kan tyckas komplext. Men det är viktigt att komma ihåg att både NIS2-direktivet och de anpassningar som nu görs i respektive land, är en värdefull möjlighet för dig och andra företagare att förbättra era cybersäkerhetsstrategier. Gallaghers globala team för cyberriskhantering är experter på den här typen av frågor och underlättar processen när du ska anpassa din verksamhet till nya förutsättningar. Vi hjälper dig att navigera bland kraven i både NIS2-direktivet och den nationella lagstiftningen, att bedöma verksamhetens nuvarande säkerhetsnivå, upptäcka eventuella brister och vägleda dig så att ditt företag har ett starkt försäkringsskydd. Vi hjälper bland annat till med:

  • Riskbedömningar
  • Planering av hur cyberincidenter ska hanteras
  • Riskhantering i leverantörskedjan
  • Efterlevnad av rapporteringsskyldighet

NIS2-direktivet är mer än bara en lagändring och kommer att förändra framtiden för Europas digitala ekonomi. För företag och organisationer i Norden handlar ett proaktivt cybersäkerhetsarbete om så mycket mer än att uppfylla kraven i NIS2 och den nationella lagstiftningen – det innebär en viktig konkurrensfördel och gör att verksamheten kan stå emot och hantera de alltmer sofistikerade cyberhoten.

Låt Gallagher hjälpa er med NIS2-omställningen, så att ditt företag uppfyller lagkraven och är säkert, motståndskraftigt och redo för framtiden. Kontakta en expert hos oss idag för att ta reda på mer.

Vi håller dig uppdaterad på vad som är på gång i branschen.