Vad gäller för nätverks- och informationssäkerhet – NIS2?
Vad gäller för nätverks- och informationssäkerhet – NIS2?
NIS2 gäller för organisationer som är etablerade inom EU och som är en del av den samhällsviktiga infrastrukturen med väsentliga och viktiga entiteter, exempelvis som tillhandahåller nätverks- och informationssystemtjänster eller digitala tjänster. Genom den här bestämmelsen, vill EU kunna bidra till en starkare och mer enhetlig ram för cybersäkerhet, som hjälper olika aktörer till att skydda mot både nuvarande och framtida hot samt incidenter.
Vi ser att cyberattacker ökar i en alarmerande takt varje år, och det är inte längre en fråga om du kommer att drabbas, utan när. Särskilt inom EU-länderna har det blivit allt vanligare, eftersom den digital utvecklingen av ny teknik gör det lättare för hackare att tränga sig in i organisationers nätverk och ta del av känslig information. NIS2-förordningen kräver att flera personer från organisationer ska utses som ansvariga för cybersäkerheten för att på ett säkert sätt genomföra riskbedömningar och ta lämpliga tekniska åtgärder. Det i följd med att skydda sina nätverk och informationssystem (NIS) som sedan rapporteras.
Vad är NIS2 – och vilka organisationer omfattas av direktivet?
För att skydda EU-medborgare och stärka cybersäkerheten i alla medlemsstater, har Europeiska unionen skapat NIS2-förordningen som utvidgar tillämpningsområdet av den befintliga lagstiftningen och utgör en ny lösning för att säkra den europeiska cybermiljön. NIS2-förordningen har större krav på organisationer att skydda sina nätverk och information från attacker. NIS2 syfte är att stärka cybersäkerheten inom EU genom att fastställa gemensamma krav för nätverks- och informationssystem (NIS) som är en avgörande faktor EU:s ekonomi och säkerhet.
NIS2 har ersatt det tidigare NIS1 som tillämpades 2016, men utvidgar sitt tillämpningsområde och ställer hårdare krav på efterlevnad. Tillämpningsområdet för NIS2 omfattar ett brett spektrum av olika aktörer i jämförelse med det tidigare direktivet NIS. I princip kan alla organisationer omfattas av NIS2, men fokus sätts främst på de väsentliga och viktiga entiteter som är avgörande för samhällets funktioner.
De väsentliga entiteterna inkluderar:
- Energi
- Transport
- Bank
- Finansmarknadsinfrastruktur
- Hälsa- och sjukvård
- Leverans- och distribution av dricksvatten
- Digitalinfrastruktur-
- Offentliga förvaltningsorganisationer.
Gemensamt har organisationerna en kritisk roll inom samhället och en viktig roll där deras verksamhet är avgörande för att upprätthålla samhällsfunktioner. För de viktiga entiteter enligt NIS2, inkluderas digitala tjänster exempelvis internetbaserade marknadsplatser, molntjänster och sökmotorer, då tjänsterna är kritiska för att upprätthålla en stabil och säker digital ekonomi och utgör den digitala infrastrukturen. Med NIS2 innebär det även att fler aktörer blir skyldiga att rapportera cyberincidenter till behöriga myndigheter och ta lämpliga åtgärder för att kunna hantera händelsen.
Påverkan, krav och förberedelse av NIS2
Europeiska unionen önskar att samtliga organisationer som spelar en viktig roll i samhället skyddas av NIS2. Detta innebär att NIS2 även gäller för olika sektorer såsom livsmedelsindustrin, avfallshantering, och andra delar av leveranskedjan. Fokus för NIS2-direktivet ligger även på cyber-incidenter som kan utgöra en risk för andra organisationer samt händelser som kan skada eller hindra andra sociala funktioner. Dessutom berör NIS2-direktivet företagens och myndigheternas policys, processer och strategier kring cyber- och informationssäkerhet och fungerar som en bindande lag. Därför sträcker sig omfattningen långt bortom de kritiska infrastruktur-organisationerna. Det här leder till att man behöver förbereda sig inför de cyberattacker som kan komma att ske.
Här är några exempel:
- Identifiera luckor i jämförelse till direktivets krav
- Uppnå en hög nivå av cybersäkerhet genom att implementera organisatoriska och tekniska åtgärder samt riktlinjer
Vidare räcker det inte för organisationer att tillhandahålla grundläggande tekniker som en brandvägg för att skydda sina slutpunkter. Många företag kommer behöva satsa hårt och göra stora investeringar i teknik för att skydda sin verksamhet samt för att kunna logga de intrång som eventuellt kan förekomma och hur det har hänt. Utöver de nya investeringar som företag behöver göra på ny teknik, behövs det även nya processer vilket resulterar i nya rutiner och utbildningar. Som på grund av att vissa verksamheter behöver inom 24 timmar rapportera till en myndighet om intrång har skett som kan avbryta en verksamhets leverans av deras samhällsviktiga tjänst.
Med NIS2-förordningen innebär det även ett närmare samarbete mellan EU:s medlemsstater och de nationella myndigheterna och organisationerna som omfattas av NIS2. Syftet är att bidra och uppmuntra informationsutbyte och samordningen av säkerhetsinsatser för att tillsammans förbereda och förbli motståndskraftiga mot cyberattacker.
NIS2 avser att öka harmoniseringen mellan medlemsländer för att öka cybersäkerheten inom hela Europeiska unionen och för att minska bördan på aktörer som har verksamhet i flera länder. Förslaget omfattar bland annat att det ska finnas ökade rapporteringsskyldigheter, ökade rättsmedel och sanktioner för tillsyn av direktivet. Men även effektiviserad samarbete mellan myndigheter och mekanismer för informationsdelning mellan medlemsstater, enheter och myndigheter.
Det är också viktig att förmedla att entiteter inte längre delas in i leverantörer av samhällsviktiga tjänster och digitala tjänster utan i stället i väsentliga respektive viktiga entiteter.
Framtidssäkra din organisation med BDO:s expertis
Vi på BDO är här för att hjälpa dig att implementera NIS2-förordningen och säkerställa att din organisation är skyddad. Vi genomför en grundlig GAP-analys av dina befintliga åtgärder och NIS2-kraven och utformar en projektplan för genomförande, inklusive prioritet av varje åtgärd. Vi kan också ge dig rådgivning om NIS2 om du är osäker på om det gäller din organisation.
Skydda din organisation och känsliga data från cyberattacker genom att ta NIS2-förordningen på allvar. Kontakta oss redan idag för att komma igång.
Cybersäkerhetslag ska implementera NIS2-direktivet
Sedan våren 2024 finns ett förslag om en ny cybersäkerhetslag som ska implementera NIS2-direktivet. Cybersäkerhetslagen planeras träda i kraft den 1 januari 2025 kommer att ersätta den nuvarande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.