Return to previous page

NIS2

NIS2-direktivet

NIS2: Europas mest omfattande cybersäkerhetsdirektiv hittills

NIS2-direktivet är det mest heltäckande europeiska cybersäkerhetsdirektivet hittills. Med strängare krav på riskhantering och incidentrapportering, bredare sektorsomfattning och hårdare påföljder för bristande efterlevnad måste hundratusentals organisationer inom EU omvärdera sin cybersäkerhetsstrategi.

Nya organisatoriska krav

För att stärka Europas motståndskraft mot nuvarande och framtida cyberhot inför NIS2-direktivet nya krav och skyldigheter för organisationer inom fyra övergripande områden: riskhantering, företagsansvar, rapporteringsskyldighet och verksamhetskontinuitet.

Riskhantering

För att följa det nya direktivet måste organisationer vidta åtgärder för att minimera cyberrisker. Dessa åtgärder inkluderar incidenthantering, stärkt säkerhet i leveranskedjan, förbättrad nätverkssäkerhet, bättre åtkomstkontroll och kryptering.

Behöver du hjälp?

Kontakta oss idag!

Företagsansvar

NIS2 kräver att företagsledningen övervakar, godkänner och utbildas i organisationens cybersäkerhetsåtgärder samt hanterar cyberrisker. Överträdelser kan leda till sanktioner för ledningen, inklusive ansvarsskyldighet och en potentiell tillfällig avstängning från ledande roller.

Behöver du hjälp?

Kontakta oss idag!

Rapporteringsskyldighet

Väsentliga och viktiga enheter måste ha processer på plats för att snabbt rapportera säkerhetsincidenter som har en betydande påverkan på deras tjänster eller mottagare. NIS2 fastställer specifika tidsfrister för rapportering, såsom en 24-timmars "tidig varning".

Behöver du hjälp?

Kontakta oss idag!

Verksamhetskontinuitet

Organisationer måste planera för hur de ska säkerställa verksamhetskontinuitet vid större cyberincidenter. Denna plan bör inkludera överväganden kring systemåterställning, nödprocedurer och inrättande av ett krisrespons-team.

Behöver du hjälp?

Kontakta oss idag!

10 Minimåtgärder

Utöver de fyra övergripande kraven kräver NIS2 att väsentliga och viktiga enheter implementerar grundläggande säkerhetsåtgärder för att hantera specifika former av sannolika cyberhot. Dessa inkluderar:

– Riskbedömningar och säkerhetspolicyer för informationssystem.

– Policyer och rutiner för att utvärdera effektiviteten av säkerhetsåtgärder.

-Policyer och rutiner för användning av kryptografi och kryptering.

– En plan för hantering av säkerhetsincidenter.

– Säkerhet vid upphandling, utveckling och drift av system. Detta innebär att det ska finnas policyer för hantering och rapportering av sårbarheter.

– Cybersäkerhetsutbildning och rutiner för grundläggande datorsäkerhet.

– Säkerhetsrutiner för anställda med åtkomst till känslig eller viktig data, inklusive policyer för dataåtkomst. Berörda organisationer måste också ha en översikt över alla relevanta tillgångar och säkerställa att de hanteras och används korrekt.

– En plan för att hantera affärsverksamheten under och efter en säkerhetsincident. Detta innebär att säkerhetskopior måste vara uppdaterade. Det måste också finnas en plan för att säkerställa åtkomst till IT-system och deras funktioner under och efter en säkerhetsincident.

– Användning av multifaktorautentisering, kontinuerliga autentiseringslösningar, röst-, video- och textkryptering samt krypterad intern nödkommunikation när det är lämpligt.

– Säkerhet kring leveranskedjor och relationen mellan företaget och direkta leverantörer. Företag måste välja säkerhetsåtgärder som passar de sårbarheter varje direktleverantör har, samt bedöma den övergripande säkerhetsnivån för alla leverantörer.

160 000+

Beräknade företag som påverkas av NIS2

€10 miljoner

Maximal böter för bristande efterlevnad av NIS2

15

Antal sektorer som omfattas av NIS2-direktivet

 

Sektorer påverkade av NIS2-direktivet:

NIS2-direktivet utvidgar täckningen från de ursprungliga 7 sektorerna under NIS-direktivet och lägger till ytterligare 8, vilket ger totalt 15 sektorer. För att få sektorsspecifik information om NIS2, klicka helt på en av de sektorer som listas nedan.

Energisektorn

Energisektorn i Europa, som förser miljontals hushåll, företag och transporter med energi, betraktas som en mycket kritisk infrastruktur. På grund av sin status som kritisk infrastruktur är energisektorn särskilt utsatt för NIS2-direktivet, eftersom den tillhandahåller viktiga tjänster till allmänheten och är ett primärt mål för cyberattacker. Därför ställer direktivet specifika krav på energiföretag att skydda sina nätverk och informationssystem.

Hälsosektorn

Hälsosektorn, som består av både offentliga och privata vårdgivare, tillverkare av medicinsk utrustning och läkemedel, sjukförsäkringsbolag och andra viktiga hälsorelaterade tjänster, är en hörnsten i det europeiska samhället och ekonomin. Med tanke på de potentiellt dödliga konsekvenserna vid en lyckad cyberattack anses sektorn vara viktig enligt NIS2-direktivet, vilket gör att den omfattas av direktivets striktaste krav och skyldigheter.

Transportsektorn

Transportsektorn omfattar allt från urbana kollektivtrafiksystem till landsbygdsvägar och interregionala flygresor, och är en hörnsten i det moderna samhället och ekonomin. Transportsektorn anses vara en viktig sektor enligt det kommande NIS2-direktivet, eftersom en större störning i sektorn kan orsaka destruktiva konsekvenser i hela samhället. Vad ingår i denna sektor? Denna sektor inkluderar: Luft-, järnvägs-, vatten- och vägtransport.

Finanssektorn

Finanssektorn omfattar institutioner som banker, investmentbolag och försäkringsbolag som hanterar och stödjer kapitalflödet, och är en kritisk komponent i den europeiska ekonomin. Under de senaste åren har sektorn varit föremål för ökad reglering för att öka stabiliteten och motståndskraften. Det kommande genomförandet av NIS2-direktivet är en sådan åtgärd som förväntas ha en betydande påverkan på sektorn. Vad ingår i denna sektor? Denna sektor inkluderar: Bankverksamhet och infrastruktur för finansmarknader.

Vattensektorn

Vattenförsörjningssektorn är en livsviktig industri som ansvarar för att förse samhällen med rent och säkert vatten samt att hantera och behandla avloppsvatten. Eftersom en störning i denna tjänst kan få allvarliga konsekvenser i samhället har NIS2-direktivet klassificerat den som en "viktig" sektor. Vad ingår i denna sektor? Denna sektor inkluderar: Dricksvatten och avloppsvatten.

Digital infrastruktur

Eftersom vårt beroende av digital teknik växer, blir datacenter ryggraden i samhället – och därmed ett högt värderat mål för illvilliga aktörer som vill störa och orsaka skada. NIS2 erkänner konsekvenserna av denna utveckling och klassificerar operatörer inom den digitala infrastrukturen som viktiga enheter. Vad ingår i denna sektor? Denna sektor inkluderar: Telekom, DNS, TLD, datacenter, förtroendetjänster och molntjänster.

Förvaltningssektorn

Den offentliga förvaltningssektorn är en kritisk del av det europeiska samhället och tillhandahåller viktiga tjänster till medborgarna, såsom socialtjänst, allmän säkerhet, ekonomisk reglering och politisk representation. Med de stora mängderna känslig information som dessa organisationer hanterar, är de utsatta för allvarliga cyberattacker. NIS2-direktivet erkänner denna viktighet och klassificerar den offentliga förvaltningssektorn som en "viktig enhet", vilket betonar vikten av att skydda sektorn mot cyberhot.

Digitala leverantörssektorn

Den digitala leverantörssektorn är en bred och dynamisk industri som omfattar företag som erbjuder olika digitala produkter och tjänster, såsom sökmotorer, online-marknader och sociala nätverk. Dessa tjänster har förändrat sättet för individer och företag att kommunicera, genomföra transaktioner och få tillgång till information online, vilket gör dem till en integrerad del av den moderna digitala ekonomin. Från NIS2-direktivets perspektiv betraktas tjänster inom denna sektor som viktiga enheter.

Postsektorn

Postsektorn omfattar en mångfald av organisationer som ansvarar för att leverera brev och paket, från nationella posttjänster till små kurirföretag med nischade marknader. På grund av det ökade beroendet av digitala system och nätverk för att hantera och leverera posttjänster har denna sektor blivit mer sårbar för cyberhot. Därför erkänner NIS2-direktivet postsektorn som en viktig enhet och kräver att organisationer inom denna sektor vidtar åtgärder för att säkerställa att deras cybersäkerhet är robust och motståndskraftig.

Avfallshanteringssektorn

Avfallshanteringssektorn ansvarar för att upprätthålla folkhälsa, miljöskydd och hållbarhet och är en viktig del av den europeiska ekonomin. Med sitt breda verksamhetsområde, såsom insamling, transport, behandling och bortskaffande av avfall, är sektorn sårbar för cyberattacker som kan orsaka stora störningar i dess kritiska verksamheter. Avfallshanteringsindustrin är en av de nya sektorer som omfattas av NIS2-direktivet, och kommer därför att omfattas av striktare krav på cybersäkerhet.

Rymdsektorn

Som en viktig del av den moderna ekonomin är rymdsektorn avgörande för många industrier, inklusive telekommunikation, navigation och nationell säkerhet. Dock gör sektorns betydelse den också till ett primärt mål för cyberhot och attacker. Cyberbrottslingar kan rikta in sig på rymdsektorn för att få åtkomst till känslig information eller störa kritiska system, vilket kan få allvarliga konsekvenser. Därför erkänner NIS2-direktivet rymdsektorn som en viktig enhet, vilket innebär att den omfattas av de striktaste kraven för cybersäkerhet.

Livsmedelssektorn

Livsmedelssektorn inom Europeiska unionen är en av de största och viktigaste industrierna, som täcker alla aspekter från jordbruk till livsmedelsbearbetning, förpackning, transport och detaljhandel. Med den ökande digitaliseringen och uppkopplingen inom livsmedelssektorn har den blivit mer sårbar för cyberhot. I erkännande av de risker som cyberattacker innebär för denna sektor, klassificerar NIS2 livsmedelssektorn som en "viktig enhet".

Kemiska sektorn

Europas kemiska industri, en av de största tillverkningssektorerna, spelar en avgörande roll i att tillhandahålla innovativa material och teknologiska lösningar som stöder Europas industriella konkurrenskraft. Industrin producerar ett brett spektrum av kemikalier, inklusive petrokemikalier, polymerer, grundläggande oorganiska ämnen, specialkemikalier och konsumentkemikalier.

Forskningsektorn

Som en viktig bidragsgivare till innovation och framsteg är forskningsektorn ett värdefullt mål för cyberbrottslingar som söker stjäla känslig forskningsdata eller störa kritiska system. Det nya NIS2-direktivet erkänner forskningsektorns betydelse och inkluderar den som en del av den kritiska infrastrukturen, vilket innebär att den omfattas av specifika krav på cybersäkerhet.

Tillverkningssektorn

Med den ökande användningen av digitala system och uppkopplade enheter inom tillverkningsprocesser, har sektorn blivit mer sårbar för cyberattacker. Störningar i tillverkningsprocesser kan få allvarliga konsekvenser för både företagen och hela samhällsekonomin. Därför erkänner NIS2-direktivet tillverkningssektorn som en viktig enhet och ställer specifika krav på att säkerställa cybersäkerheten för att skydda dessa kritiska verksamheter.

Vad är NIS2-direktivet?

NIS2-direktivet infördes 2020 och trädde nyligen i kraft den 16 januari 2023. Det är en fortsättning och utvidgning av det tidigare EU-direktivet för cybersäkerhet, NIS. Det föreslogs av Europeiska kommissionen för att bygga vidare på och åtgärda bristerna i det ursprungliga NIS-direktivet. Syftet med NIS2 är att förbättra säkerheten för nätverks- och informationssystem inom EU genom att kräva att operatörer av kritisk infrastruktur och viktiga tjänster implementerar lämpliga säkerhetsåtgärder och rapporterar incidenter till relevanta myndigheter. Jämfört med NIS utvidgar NIS2 EU:s säkerhetskrav och omfattning av täckta organisationer och sektorer för att förbättra säkerheten i leverantörskedjor, förenkla rapporteringsskyldigheter och genomdriva striktare åtgärder och sanktioner över hela Europa.
Vill du veta mer? Kontakta oss så hjälper vi dig!

Kontakta oss