NIS2 – EU:s nya direktiv för cybersäkerhet

Enligt MSB kommer NIS2 genom den svenska Cybersäkerhetslagen att troligen träda i kraft under augusti 2025. Vilket innebär att berörda verksamhetsutövare måste ha anpassat sina verksamheter innan dess. Men vad innebär egentligen NIS2 och hur påverkar det din verksamhet? Här får du en bakgrund till NIS 2-direktivet och svar på några av de vanligaste frågorna kopplat till NIS2.

Digitaliseringen gör samhället mer sårbart för cyberhot. EU vill genom NIS2 stärka cybersäkerheten genom skärpta krav.

Vad innebär NIS2-direktivet?

NIS2-direktivet är en uppdatering av det befintliga NIS-direktivet (Network and Information Systems Directive) som syftar till att höja cybersäkerhetsnivån inom EU. Det innebär att medlemsstaterna måste införa åtgärder för att skydda kritisk infrastruktur och samhällsviktiga tjänster från cyberhot. Direktivet ställer krav på organisationer som ansvarar för dessa funktioner att ha ett systematiskt informationssäkerhetsarbete och lämpliga riskhanteringsåtgärder.

Syftet med NIS2?

Syftet med NIS2-direktivet, är att höja den gemensamma cybersäkerhetsnivån och motståndskraften i samhällsviktig verksamhet inom EU. Detta säkerställs genom att ställa krav på organisationer som ansvarar för viktiga samhällsfunktioner att ha ett systematiskt informationssäkerhetsarbete och lämpliga riskhanteringsåtgärder. Dessutom måste dessa organisationer rapportera betydande incidenter till tillsynsmyndigheterna. Jämfört med det befintliga NIS-direktivet skärps kraven och fler sektorer omfattas av regleringen.

Skillnader från ursprungliga NIS?

NIS2 skiljer sig från NIS genom att ställa tydligare krav på riskanalyser och säkerhetsåtgärder samt ökat ledningsdeltagande i cybersäkerhetsarbetet. Dessutom omfattar NIS2 fler sektorer och tillsynsmyndigheter, och sanktionsavgifterna är högre vid bristande efterlevnad. Incidentrapportering ska ske inom 24 timmar i stället för 72 timmar.

När implementeras NIS2?

Om organisationen redan omfattas av NIS-lagen gäller den under övergångsperioden tills NIS2 genom Cybersäkerhetslagen, troligen ikraftträdande augusti 2025 i svensk lag.

Vad innebär NIS2 för min verksamhet?

Verksamheter kan få böter upp till 10 miljoner euro för bristande efterlevnad. Ledningen kan hållas personligen ansvarig och ska genomgå utbildning om riskhanteringsåtgärder. Liknande utbildning ska ocskå erbjudas medarbetare inom organisationen. Ledningen ska också godkänna de riskhanteringsåtgärder som vidtas samt övervaka implementeringen av dem. Strängare krav ställs på riskbedömningar, och incidenter måste rapporteras inom 24 timmar om de är kritiska.

Vilka branscher omfattas?

NIS2 gäller för medelstora eller större offentliga och privata företag samt sektorer med viktiga samhällsfunktioner, oavsett storlek, såsom energi, transporter, bankverksamhet och digital infrastruktur med flera. Exakta kriterier kommer när väl Cybersäkerhetslagen är på plats i Svensk lag.

Kan min verksamhet indirekt omfattas av NIS2?

Ja. Detta gäller i de fall en verksamhet tillhandahåller kritiska tjänster eller levererar till betydande eller samhällsviktiga verksamheter. Om du är underleverantör till en verksamhet som omfattas av NIS2.