I en allt mer digitaliserad värld är cybersäkerhet av yttersta vikt. För att säkerställa skyddet av digitala infrastrukturer och tjänster har EU infört ett uppdaterat direktiv, NIS2. I den här artikeln kommer vi att utforska vad NIS 2 är och hur det skiljer sig från det tidigare NIS-direktivet, samt hur det kan påverka din verksamhet. 

Vad är NIS2?

NIS 2 (Network and Information Security Directive 2) är en uppdaterad version av NIS-direktivet från 2018 och syftar till att öka cybersäkerheten i hela EU genom att fastställa gemensamma regler och standarder för företag och myndigheter som tillhandahåller samhällsviktiga tjänster och produkter.

I Sverige realiseras direktivet genom införandet av ”Cybersäkerhetslagen” som enligt gällande förslag träder i kraft den 1 januari 2025.

NIS2 bygger vidare på framgångarna med det första NIS-direktivet genom att utöka dess omfattning och skärpa reglerna. Direktivet omfattar nu fler sektorer och inkluderar nya kategorier av tjänster och enheter. EU:s mål är att alla organisationer och företag som fyller en samhällsviktig funktion ska omfattas av det nya NIS-direktivet. Det betyder att exempelvis livsmedelsproducenter och fordonstillverkare nu räknas som samhällsviktiga organisationer och måste arbeta mer aktivt med sin digitala säkerhet

En annan nyhet i NIS 2 är direktivets strängare krav på incidentrapportering och säkerhetsåtgärder. I breda drag innebär det att företag och myndigheter kommer behöva lägga mer resurser på kontroll och övervakning, samt på att hantera cyberrisker och incidenter. Hur dessa processer ska se ut beror på huruvida verksamheten bedöms vara väsentlig eller viktig ur ett samhällsperspektiv. Den nya versionen av NIS innehåller också strängare sanktioner och böter för organisationer som inte lyckas efterleva kraven. Det maximala bötesbeloppet för företag kommer att ligga på 10 miljoner euro eller 2 % av den årliga globala omsättningen. 

Vilka verksamheter omfattas av NIS2?

NIS 2-direktivet kommer att gälla alla stora och medelstora företag verksamma inom sektorer som anses väsentliga eller viktiga för samhället. Detta innebär att de måste förbättra sin cybersäkerhet, genomföra riskbedömningar och rapportera incidenter till behöriga myndigheter. Vilka branscher och sektorer som omfattas kan du läsa om längre ner. 

I direktivet definieras stora företag som verksamheter med fler än 250 anställda och en årlig omsättning på minst 50 miljoner euro. Medelstora företag definieras i sin tur som verksamheter med 50 till 249 anställda och en årlig omsättning som understiger 10 miljoner euro. 

En del verksamheter, som till exempel leverantörer av DNS-tjänster, är undantagna EU-direktivets kriterier gällande antalet anställda och omsättning. Undantagen hittar du i direktivets artikel 3(1). 

Utöver NIS 2 behöver aktörer inom bank- och finanssektorn dessutom anpassa sina verksamheter till den nya EU-förordningen DORA (Digital Operational Resilience Act) som träder i kraft i början av 2025. För närvarande är det svårt att förutsäga vilket område av DORA och NIS 2 som kommer få högst prioritet, EU har ännu inte tagit något beslut i frågan. Vi på CGI följer dock utvecklingen noga. 

Väsentliga enheter enligt NIS2

NIS 2 definierar väsentliga enheter som företag eller organisationer som erbjuder tjänster som är kritiska för att samhället ska fungera. Det kan till exempel röra sig om sjukvårdstjänster, energiförsörjning eller finansiella tjänster. Dessa företag måste uppfylla de strängaste kraven för cybersäkerhet. Här är alla sektorer som NIS2-direktivet bedömer vara väsentliga enheter:

Energi

NIS 2 omfattar i stort sett alla stora och medelstora företag verksamma inom energisektorn. Detta innebär produktion, leverans, distribution och försäljning av el, gas, fjärrvärme, olja, bränsle, vätgas, med mera. Företag som tillverkar, säljer och monterar vindkraftverk, laddstationer och liknande omfattas nu också av NIS 2.

Bank & Finans

Alla stora och medelstora företag inom finanssektorn bedöms vara väsentliga enheter enligt NIS 2. Detta omfattar allt från banker och låneinstitut, företag som handlar med värdepapper och betaltjänster till finansiell infrastruktur i stort. 

Transport

Flyg, järnväg, väg- och vattentransport bedöms vara särskilt samhällsviktiga sektorer. Till kategorin transport hör även rederier och hamnanläggningar. 

Hälsa & sjukvård

Sjukhus, vårdgivare, läkemedelsförsäljning och distribution, forskningslaboratorier och tillverkning av medicinska hjälpmedel faller alla inom sektorn hälsa och sjukvård

Vatten & avlopp

Denna sektor omfattar dricksvattenförsörjning samt verksamheter som har hand om avloppssystem och vattenrening.

Digital infrastruktur & IT

Denna sektor omfattar digitala infrastruktur och IT-tjänster som datahantering, DNS, molntjänster, elektroniska kommunikationstjänster, namn- och dataregister, lagring och hantering av data, med mera. 

Offentlig förvaltning

Gäller offentlig förvaltning på nationell och regional nivå. För mer information om den svenska förvaltningsmodellen, vänligen besök Regeringskansliets hemsida

Rymdverksamhet

I kategorin väsentliga enheter hittar vi också markbaserad infrastruktur för rymdforskning och annan rymdverksamhet. 

 

Viktiga enheter enligt NIS2-direktivet

Förutom de väsentliga enheterna, omfattar NIS 2 även viktiga enheter som erbjuder tjänster och produkter som inte är lika kritiska för samhället men fortfarande har betydande påverkan. Dessa företag måste givetvis följa direktivet och rapportera incidenter, men kraven på

  • Post- & budtjänster

  • Avfallshantering

  • Kemikalier

    Produktion och distribution

  • Livsmedel

    Produktion och distribution

  • Tillverkning

    Tillverkning av datorer och elektronik, medicinska och/eller diagnostiska apparater, optik, maskiner och motorfordon, samt annan transportutrustning.

  • Digitala leverantörer

    Nätbaserade marknadsplatser, sökmotorer och sociala medieplattformar.

 

Så bör du tänka kring NIS2-direktivet

Som företagsledare är det viktigt att du tar NIS2 på allvar och vidtar åtgärder för att följa direktivets krav – oktober 2024 är inte långt borta!

Bedöm först om ditt företag omfattas av direktivet genom att besvara följande frågor:

  1. Är företaget verksamt inom en väsentlig eller viktig sektor?
  2. Uppfyller verksamheten kriterierna för ett stort eller medelstort företag?

Om svaret är ja på båda frågorna är chansen stor att din verksamhet omfattas av NIS2-direktivet. Vilka åtgärder du bör vidta beror mycket på hur företagets befintliga cybersäkerhet ser ut. I bästa fall räcker det att identifiera och täppa igen de eventuella luckor som finns mellan företagets nuvarande praxis och direktivets krav, följt av uppdateringar gällande löpande kontroll, övervakning och incidenthantering. 

Ibland kan arbetet visa sig bli mer komplext och svåröverskådligt än man först trodde. I sådana situationer står vi på CGI till er tjänst. Våra experter inom cybersäkerhet har djup kunskap och lång erfarenhet av att utforma starka ramverk för vitt skilda branscher – från offentlig sektor och försvar till finans- och tillverkningsindustri. Vi håller oss uppdaterade med det senaste i lagstiftnings- och teknikväg för att kunna erbjuda våra kunder de bästa och mest framtidssäkra lösningarna på marknaden. 

 


 

Intresserad av vilka åtgärder ditt företag måste vidta för att uppfylla målen i NIS2. 

Kontakta våra experter Jennie Hagman eller Karl Hertz, så hjälper de dig gärna!