U

Start » Learning Centre » Blogg » Förslag om nytt direktiv – NIS 2

Förslag om nytt direktiv – NIS 2

Ett förslag har presenterats gällande ett nytt direktiv, vilket har utvecklats från NIS-direktivet – detta nya föreslagna direktiv kallas NIS 2. NIS 2 har ett antal tillägg och kommer att påverka fler sektorer och företag än det ursprungliga NIS-direktivet.

Vad är NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Läs mer om NIS-direktivet här!

 

Förslag om nytt direktiv – NIS 2

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2.

NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:

  • Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
  • Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
  • Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering

 

2 NIS

Vad är nytt med NIS 2?

Baserat på dessa brister har nya tillägg gjorts, vilket har resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:

  • Större skala än NIS, fler sektorer betraktas som viktiga tjänster (lista längre ner)
  • Chefer hålls ansvariga för att säkra verksamheten.
  • Incidentrapportering måste nu göras inom 24 timmar istället för 72 timmar.
  • Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
  • Säkerhet för leverantörskedjor och leverantörer
  • Striktare tillsynsåtgärder för nationella myndigheter
  • Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
  • Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
  • Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2 % av verksamhetens totala omsättning i hela världen.
  • Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter

 

New call-to-action

Fler sektorer och företag påverkas av NIS 2

Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. Detta som en åtgärd för att svara på Europas ökade exponering för cyberhot.

I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.

Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.

Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.

Utvidgningen av räckvidden som omfattas av de nya reglerna, genom att effektivt tvinga fler verksamheter och sektorer att vidta åtgärder för hantering av cybersäkerhetsrisk, kommer att bidra till att öka cybersäkerhetsnivån i Europa på medellång och lång sikt.

När träder NIS 2 i kraft?

Den europeiska kommittén antog det nya förslaget den 28 oktober 2021, inklusive ett mandat att inleda interinstitutionella förhandlingar. Europeiska rådet enades sedan om sin ståndpunkt den 3 december 2021. Nästa steg var att medlagstiftarna nådde en provisorisk överenskommelse om texten i förslaget den 13 maj 2022. Förslaget måste nu antas formellt av båda institutionerna, med parlamentet som kommer att rösta om det i plenum under de kommande månaderna.

När det har offentliggjorts i den officiella tidningen kommer direktivet att träda i kraft 20 dagar efter offentliggörandet och medlemsstaterna måste sedan införliva de nya delarna av direktivet i nationell lagstiftning. Medlemsstaterna kommer att ha 21 månader på sig att införliva direktivet i nationell lagstiftning.

 

Kommer du att påverkas av 2 NIS?

Några viktiga forum som också syftar till att stärka europeisk cybersäkerhet

EU:s Cybersecurity Act och ENISA

EU:s cybersäkerhetslag trädde i kraft den 27 juni 2019 och gäller fullt ut i hela EU sedan 28 juni 2021. Den har två huvudsakliga syften:

  • Att ge ENISA (EU:s byrå för nät- och informationssäkerhet) ett permanent mandat
  • Att upprätta ett europeiskt ramverk för cybersäkerhetscertifiering för IKT (informations- och kommunikationsteknik) produkter, tjänster och processer.

Tanken är att företag som gör affärer i EU kommer att dra nytta av att endast behöva certifiera sina IKT-produkter, processer och tjänster en gång och få sitt certifikat erkänt i hela EU. Cybersäkerhetslagen stärker EU:s byrå för cybersäkerhet (ENISA) då den ger ett permanent mandat till myndigheten, och ger den mer resurser och nya uppgifter.

 

European Cyber Resilience Act

Enligt Europeiska kommissionens arbetsprogram för 2022 kommer ett förslag om en European Cyber Resilience Act (lagstiftning) att publiceras under tredje kvartalet 2022. Syftet är att upprätta gemensamma standarder för cybersäkerhetsprodukter. Lagen adresserar marknadens behov och syftar till att skydda konsumenter från osäkra produkter genom att införa gemensamma cybersäkerhetsregler för tillverkare och leverantörer av materiella och immateriella digitala produkter och kringtjänster.

Cyberresilience Act kommer att komplettera den befintliga EU-lagstiftningen, som inkluderar direktivet om säkerheten för nät- och informationssystem (NIS-direktivet) och cybersäkerhetslagen, samt det framtida direktivet om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen (NIS 2) som kommissionen föreslog i december 2020.

 

New call-to-action

Kommer du att påverkas av NIS 2?

Varje verksamhet som berörs kommer nu att behöva ha en välorganiserad incidenthantering, ett strukturerat förhållningssätt till riskhantering och en cybersäkerhetsansvarig på ledningsnivå.

Med verkliga sanktionsavgifter för företag som inte tar hand om sitt ansvar (2 % av försäljningen eller 10 MEUR) samt personligt ansvar för VD och myndighetstillsyn måste du verkligen se till att du följer direktivet!

Så vad ska man göra nu?

Först och främst: Ta reda på om du och/eller dina kunder omfattas av direktivet! Om du till exempel är en verksamhet som tillhandahåller en tjänst som är nödvändig för att upprätthålla kritiska samhälleliga och/eller ekonomiska aktiviteter, till exempel ett energibolag, klassificeras du som en “operatör av väsentliga tjänster”. Börja sedan med att reda ut vilka krav som ställs på dig och gör en gapanalys mot nuläget.

Här är några åtgärder som alla företag som berörs av NIS måste vidta:

  • Vidta säkerhetsåtgärder för att skydda nätverkssäkerhet och informationssystem. Detta inkluderar riskanalys och säkerhetspolicyer för informationssystem.
  • Krav på att rapportera incidenter som påverkar kontinuiteten i tjänsterna (förebyggande, upptäckt och reaktion på incidenter).
  • Arbeta med affärskontinuitet och krishantering samt leveranskedjans säkerhet. Detta inkluderar att ha policys och rutiner för riskhanteringsåtgärder för cybersäkerhet.
  • Användning av kryptografi och kryptering.
  • Tillsyn av utsedda tillsynsmyndigheter
  • Arbeta systematiskt och riskbaserat med sin informationssäkerhet

 

Om du har aktiviteter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra i framtiden. Det har antytts att det särskilda undantaget som gjorde att säkerhetsskyddet alltid bröt mot NIS-direktivet kommer att ändras.

Med det nya NIS-direktivet kommer ledningsgrupper att ha en avgörande och aktiv roll i övervakningen och genomförandet av dessa åtgärder. Vad kan hända om en viktig verksamhet inte uppfyller kraven?

  • Böter på upp till 10 MEUR eller 2 % av den totala globala årliga omsättningen
  • Ledningen får ta ansvar
  • Tillfälliga förbud riktade mot chefer
  • Utseende av en övervakningsansvarig

 

Du vill inte hamna här. Börja ditt informationssäkerhetsarbete idag!

För att lära dig mer om hur du skyddar din viktigaste information, läs mer om hur du börjar arbeta systematiskt med informationssäkerhet!

Behöver ni hjälp? Tveka inte att kontakta oss på Advenica!

 

New call-to-action

 

 

Relaterade artiklar