I takt med att viktiga funktioner i samhället har digitaliserats har vi blivit betydligt mer sårbara för cyberhot. Med NIS2-direktivet vill EU påskynda arbetet med att skapa en hög gemensam cybersäkerhetsnivå i hela unionen. Men vad innebär NIS2 och hur påverkar det din verksamhet? I den här artikeln får du en bakgrund till direktivet och svar på några av de vanligaste frågorna.
Vad är NIS2-direktivet?
NIS2 står för "Network and Information Systems Directive 2" och är en reviderad version av EU:s ursprungliga NIS-direktiv. Genom skärpta krav på incidentrapportering, riskhantering och kontinuerlig övervakning syftar det till att stärka skyddet av samhällsviktiga tjänster inom EU mot cyberhot. Direktivet innebär en bredare och mer enhetlig satsning och ställer tydligare krav på företag och offentliga organisationer som verkar inom 18 definierade sektorer. Beslutet om det uppdaterade direktivet togs av EU i december 2022 och trädde i kraft på EU-nivå den 18 oktober 2024, men har inte implementerats i svensk lag ännu.
När ska NIS2-direktivet implementeras?
I Sverige kommer direktivet att implementeras genom cybersäkerhetslagen, som var tänkt att träda i kraft i början av 2025, men det pågår fortfarande en statlig utredning om hur den ska utformas. Under våren 2025 väntas regeringskansliet lägga fram en proposition och den senaste tidsplanen pekar på att lagen börjar gälla under andra halvan av 2025.
Vilka omfattas av NIS2-direktivet?
Likt det ursprungliga NIS-direktivet omfattas alla organisationer som tillhandahåller samhällsviktiga tjänster, men NIS2 täcker även ytterligare sektorer och typer av verksamheter. Direktivet skiljer även mellan "väsentliga sektorer" och "viktiga sektorer", där de ekonomiska följderna och tillsynsrutinerna skiljer sig beroende på vilken man tillhör.
Se hela listan av branscher som omfattas
NIS2 syftar även att stärka leverantörskedjan, vilket innebär att betydande underleverantörer till samhällsviktiga företag också kan behöva uppfylla de nya säkerhetskraven.
Vilka krav ställer NIS2 på organisationerna?
Direktivet kräver att organisationer snabbt rapporterar allvarliga incidenter till relevanta myndigheter och samarbetar med andra aktörer för att hantera störningar som påverkar samhällsviktiga tjänster. Organisationer behöver även ha en tydlig plan för att hantera risker och kontinuerligt förbättra sina säkerhetsåtgärder.
Vad är nytt i NIS2?
Här är några av förändringarna från det ursprungliga NIS-direktivet:
- NIS2 omfattar fler sektorer och verksamheter
- Större böter och hårdare kontroll vid bristande efterlevnad
- Företagsledningar hålls direkt ansvariga för cybersäkerheten
- Strängare krav i leverantörskedjan och hos partners
Så möter vi de nya kraven
På GleSYS tar vi cybersäkerhet på största allvar och vi har lång erfarenhet av att leverera IT-tjänster för säkerhetskritiska verksamheter. Som ISO 27001-certifierad leverantör har vi en stark grund för informationssäkerhet, och redan idag omfattas delar av vår verksamhet av NIS-direktivet. I väntan på att NIS2 träder i kraft följer vi den senaste utvecklingen, och vi har en strategi på plats för att snabbt och effektivt kunna möta de nya kraven.
Är du nyfiken på hur vi kan stötta digital regelefterlevnad? Läs mer om vårt arbete med compliance och säkerhet
