NIS2:
Regelverk för ökad cybersäkerhet inom EU

Med ökande hot från cyberattacker och digitala sårbarheter har Europeiska unionen (EU) infört ett nytt omfattande regelverk: NIS2. Direktivet, som trädde i kraft den 16 januari 2023, syftar till att stärka cybersäkerheten och motståndskraften hos kritiska sektorer inom unionen. Alla medlemsländer har fram till den 18 oktober 2024 att införliva NIS2 i nationell lagstiftning. Detta regelverk ersätter det tidigare NIS-direktivet från 2016 och omfattar fler sektorer, högre krav på säkerhet och incidenthantering, samt tydligare samarbetsstrukturer mellan medlemsländer.

Vad är NIS2?

NIS2 (Network and Information Security Directive) är EU:s uppdaterade ramverk för att förbättra säkerheten för nätverk och informationssystem inom kritiska sektorer. Direktivet utökar omfattningen jämfört med det ursprungliga NIS-direktivet och ställer högre krav på både offentliga och privata aktörer i en rad sektorer, inklusive energi, transport, finans, hälsa och digital infrastruktur. NIS2:s mål är att förbättra förmågan hos dessa aktörer att förebygga, upptäcka och hantera cyberhot och säkerhetsincidenter, och därigenom skydda EU:s ekonomiska och sociala intressen.

Grundläggande bestämmelser

Utökad tillämpning
 NIS2 täcker fler sektorer och aktörer än tidigare. Förutom att inkludera traditionellt kritiska områden som energi och transport, omfattar NIS2 även sektorer som offentliga förvaltningar, rymdindustri och elektroniska kommunikationstjänster. Direktivet delar upp företag i två kategorier: ”väsentliga enheter” och ”viktiga enheter”, där kraven varierar beroende på vilken kategori aktören tillhör. Väsentliga enheter, som exempelvis energileverantörer, står under striktare tillsyn än viktiga enheter, men alla måste följa samma grundläggande säkerhetskrav.

Krav på riskhantering och incidenthantering
 Precis som med föregångaren NIS, kräver NIS2 att alla omfattade aktörer implementerar omfattande säkerhetsåtgärder för att hantera risker kopplade till deras nätverks- och informationssystem. Aktörer måste upprätta processer för att identifiera och hantera potentiella cyberhot och säkerställa att deras system och data är skyddade. Incidenthanteringen är en central del av NIS2, där alla aktörer måste kunna upptäcka, rapportera och åtgärda säkerhetsincidenter inom strikta tidsramar.

Rapportering av incidenter
 En viktig förändring i NIS2 är den skärpta rapporteringsskyldigheten vid cyberincidenter. Enheter måste rapportera större säkerhetsincidenter till relevanta myndigheter inom 24 timmar från att incidenten upptäckts. Detta är en betydande förstärkning jämfört med tidigare krav och innebär att snabbare åtgärder kan vidtas för att begränsa skadorna från incidenter och spridningseffekten inom unionen.

Tillsyn och Sanktioner
 Under NIS2 utvidgas medlemsländernas ansvar för tillsyn och efterlevnad. Myndigheter inom varje land får befogenheter att utföra inspektioner och utfärda administrativa sanktioner för att säkerställa att företag uppfyller sina skyldigheter. Sanktionerna för bristande efterlevnad kan vara betydande, med böter upp till 10 miljoner euro eller 2% av den globala årsomsättningen för företag som misslyckas med att leva upp till kraven.

Tekniska krav

För att stärka säkerheten ytterligare ställer NIS2 specifika tekniska krav på aktörernas informationssystem. Dessa krav är avsedda att förbättra både proaktiv och reaktiv hantering av cyberhot.

Riskhanteringssystem
Varje organisation som omfattas av NIS2 måste utveckla och implementera ett omfattande riskhanteringssystem för sina nätverks- och informationssystem. Detta inkluderar identifiering av kritiska tillgångar och funktioner samt att säkerställa att skyddet för dessa är adekvat. Kravet innebär även att aktörerna ska kontinuerligt övervaka och uppdatera sina system för att hantera nya hot.

Regelbundna säkerhetstester
En central del i NIS2 är att aktörer regelbundet genomför säkerhetstester och sårbarhetsanalyser av sina system. Detta inkluderar penetrationstester som simulerar verkliga cyberattacker för att identifiera och åtgärda svagheter innan de kan utnyttjas av illasinnade aktörer.

Kryptering och datahantering
NIS2 lägger stor vikt vid att skydda data genom kryptering och andra dataskyddsåtgärder. Känslig data måste vara krypterad både i vila och under överföring, vilket säkerställer att även om data skulle stjälas kan den inte användas utan rätt dekrypteringsnycklar. Företag måste också implementera starka autentiseringsmekanismer, såsom flerfaktorsautentisering (MFA), för att skydda sina system från obehörig åtkomst.

Påverkan på företag och organisationer

NIS2 innebär en betydande förändring för många företag och organisationer inom EU. Förutom att fler sektorer nu omfattas av reglerna, ställs högre krav på riskhantering, incidenthantering och säkerhetstester. Företag som inte tidigare omfattades av NIS måste nu bygga upp strukturer och rutiner för att säkerställa att de uppfyller de nya kraven. Detta kan innebära investeringar i ny teknik, säkerhetspersonal och utbildning. Tredjepartsleverantörer som erbjuder kritiska tjänster till företag inom EU måste också följa NIS2:s säkerhetsstandarder, vilket innebär att företag måste se över sina leverantörsavtal för att säkerställa att de externa aktörerna upprätthåller samma höga säkerhetsnivåer som de själva.

Samarbete och Informationsdelning

En annan viktig aspekt av NIS2 är att stärka samarbetet mellan EU:s medlemsländer när det gäller cybersäkerhet. Regelverket uppmanar till ökat informationsutbyte mellan länderna och mellan företag och myndigheter. Genom att dela information om hot och incidenter kan aktörer inom EU snabbare agera för att skydda sig mot gemensamma cyberhot.

Kom igång redan idag

KONTAKTA OSS

Copyright 2024 Complior AB. All rights reserved.