NIS2: Europas mest omfattande cybersäkerhetsdirektiv hittills
NIS2-direktivet är det mest heltäckande europeiska cybersäkerhetsdirektivet hittills. Med strängare krav på riskhantering och incidentrapportering, bredare sektorsomfattning och hårdare påföljder för bristande efterlevnad måste hundratusentals organisationer inom EU omvärdera sin cybersäkerhetsstrategi.
För att stärka Europas motståndskraft mot nuvarande och framtida cyberhot inför NIS2-direktivet nya krav och skyldigheter för organisationer inom fyra övergripande områden: riskhantering, företagsansvar, rapporteringsskyldighet och verksamhetskontinuitet.
Utöver de fyra övergripande kraven kräver NIS2 att väsentliga och viktiga enheter implementerar grundläggande säkerhetsåtgärder för att hantera specifika former av sannolika cyberhot. Dessa inkluderar:
– Riskbedömningar och säkerhetspolicyer för informationssystem.
– Policyer och rutiner för att utvärdera effektiviteten av säkerhetsåtgärder.
-Policyer och rutiner för användning av kryptografi och kryptering.
– En plan för hantering av säkerhetsincidenter.
– Säkerhet vid upphandling, utveckling och drift av system. Detta innebär att det ska finnas policyer för hantering och rapportering av sårbarheter.
– Cybersäkerhetsutbildning och rutiner för grundläggande datorsäkerhet.
– Säkerhetsrutiner för anställda med åtkomst till känslig eller viktig data, inklusive policyer för dataåtkomst. Berörda organisationer måste också ha en översikt över alla relevanta tillgångar och säkerställa att de hanteras och används korrekt.
– En plan för att hantera affärsverksamheten under och efter en säkerhetsincident. Detta innebär att säkerhetskopior måste vara uppdaterade. Det måste också finnas en plan för att säkerställa åtkomst till IT-system och deras funktioner under och efter en säkerhetsincident.
– Användning av multifaktorautentisering, kontinuerliga autentiseringslösningar, röst-, video- och textkryptering samt krypterad intern nödkommunikation när det är lämpligt.
– Säkerhet kring leveranskedjor och relationen mellan företaget och direkta leverantörer. Företag måste välja säkerhetsåtgärder som passar de sårbarheter varje direktleverantör har, samt bedöma den övergripande säkerhetsnivån för alla leverantörer.
Beräknade företag som påverkas av NIS2
Maximal böter för bristande efterlevnad av NIS2
Antal sektorer som omfattas av NIS2-direktivet
NIS2-direktivet infördes 2020 och trädde nyligen i kraft den 16 januari 2023. Det är en fortsättning och utvidgning av det tidigare EU-direktivet för cybersäkerhet, NIS. Det föreslogs av Europeiska kommissionen för att bygga vidare på och åtgärda bristerna i det ursprungliga NIS-direktivet. Syftet med NIS2 är att förbättra säkerheten för nätverks- och informationssystem inom EU genom att kräva att operatörer av kritisk infrastruktur och viktiga tjänster implementerar lämpliga säkerhetsåtgärder och rapporterar incidenter till relevanta myndigheter. Jämfört med NIS utvidgar NIS2 EU:s säkerhetskrav och omfattning av täckta organisationer och sektorer för att förbättra säkerheten i leverantörskedjor, förenkla rapporteringsskyldigheter och genomdriva striktare åtgärder och sanktioner över hela Europa.
Vill du veta mer? Kontakta oss så hjälper vi dig!