Torsdagen den 10 november antogs förslaget till NIS 2 och direktivet har nu även publicerats. I Sverige kan tusentals organisationer direkt beröras av kraven. Dessutom innebär NIS 2 att det kommer att finnas risk för höga bötesbelopp om man inte uppfyller kraven. Så hur undviker du att din organisation blir drabbad av sanktionerna? I vår blogg ger vi dig tipsen du behöver!
Vad är NIS-direktivet?
Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.
Läs mer om NIS-direktivet här!
Vad är nytt med NIS 2?
Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2.
NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Baserat på dessa brister har nya tillägg gjorts, vilket har resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:
- Större skala än NIS, fler sektorer betraktas som viktiga tjänster (lista längre ner)
- Chefer hålls ansvariga för att säkra verksamheten.
- Incidentrapportering måste nu göras inom 24 timmar i stället för 72 timmar.
- Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
- Säkerhet för leverantörskedjor och leverantörer
- Striktare tillsynsåtgärder för nationella myndigheter
- Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
- Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
- Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2% av verksamhetens totala omsättning i hela världen.
- Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter
Sektorer som påverkas av NIS 2
I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning och rymden.
Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. Detta som en åtgärd för att svara på Europas ökade exponering för cyberhot.
Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.
Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.
Utvidgningen av räckvidden som omfattas av de nya reglerna, genom att effektivt tvinga fler verksamheter och sektorer att vidta åtgärder för hantering av cybersäkerhetsrisk, kommer att bidra till att öka cybersäkerhetsnivån i Europa på medellång och lång sikt.
Vad kan hända om jag inte följer NIS 2?
Det som kan hända om en viktig verksamhet inte uppfyller kraven är följande:
- Böter på upp till 10 MEUR eller 2% av den totala globala årliga omsättningen
- Ledningen får ta ansvar
- Tillfälliga förbud riktade mot chefer
- Utseende av en övervakningsansvarig
Hur undviker jag att drabbas av sanktionerna från NIS 2?
Så vad ska man göra nu?
1. Först och främst: Ta reda på om du och/eller dina kunder omfattas av direktivet! Om du till exempel är en verksamhet som tillhandahåller en tjänst som är nödvändig för att upprätthålla kritiska samhälleliga och/eller ekonomiska aktiviteter, till exempel ett energibolag, klassificeras du som en “operatör av väsentliga tjänster”. Börja sedan med att reda ut vilka krav som ställs på dig och gör en gapanalys mot nuläget.
2. Utse en cybersäkerhetsansvarig på ledningsnivå. Eftersom det är ledningen som kommer att hållas ansvarig vid en tillsyn är det viktigt att ansvaret läggs på denna nivå.
3. Arbeta systematiskt och riskbaserat med informationssäkerhet. Läs mer här!
4. Vidta säkerhetsåtgärder för att skydda nätverkssäkerhet och informationssystem. Detta inkluderar riskanalys och säkerhetspolicyer för informationssystem. Läs mer här!
5. Se till att införa en välorganiserad incidenthantering, det vill säga ett system för att kunna rapportera incidenter som påverkar kontinuiteten i tjänsterna (förebyggande, upptäckt och reaktion på incidenter).
6. Arbeta med ett strukturerat förhållningssätt till riskhantering. Ni behöver arbeta på ett strukturerat sätt med affärskontinuitet och krishantering samt leveranskedjans säkerhet. Detta inkluderar att ha policys och rutiner för riskhanteringsåtgärder för cybersäkerhet.
7. Inför policys och rutiner gällande kryptografi samt, där så lämpligt, kryptering.
8. Förbered er på tillsyn av er sektors utsedda tillsynsmyndighet.
Behöver ni hjälp? Tveka inte att kontakta oss på Advenica!