NIS2
NIS & NIS2-direktiven
NIS står för Nät- och informationssystem och är ett direktiv som är upprättade av EU och gäller för samtliga EU:s medlemsländer.
NIS1 direktivet (2016/1148) som började gälla 2018 kommer att ersättas av NIS2 (2022/2555) i alla medlemsländerna och börjar tillämpas senast 2024-10-18.
På grund av bristande informationssäkerhet, som kan få allvarliga konsekvenser för Sverige och andra EU-länders samhälle, så kommer det uppdaterade direktivet verka i en större omfattning och kommer ställa högre krav på cybersäkerhet.
Vår värld har förändrats och vi ser ett ökat hot, fler och mer omfattande incidenter och planerade IT- och cyberattacker kopplade till det krig som pågår och kriminella nätverk. Hoten och händelserna riktar sig till viktiga sektorer som hanterar samhällsviktiga tjänster för Sverige. NIS2 har inkluderat de sju sektorer som fanns i NIS1 och ökat med 11 nya sektorer som anses väsentliga för vårt samhälle att skydda dessa.
Dessa sektorer är:
Silenta har sett över EU-direktivet och det kommittédirektiv från Sveriges regering som ligger under utredning för hur Sverige ska implementera EU-direktivet och vill informera om de krav som skärps eller förändras samt tillkommande nya krav.
Skärpta krav och förändringar
Några av de befintliga delar från NIS som det ställs högre krav på eller förändras i NIS2 är:
- Minimikraven för riskhanteringsåtgärder höjs.
- Rapporteringskraven om incidenter kommer bli mer precisa och entiteterna kommer bli skyldiga att rapportera i olika steg.
- NIS2 har detaljerade bestämmelser om ingripande och sanktioner om inte direktivet och nationella lagar (kopplat till NIS2) följs.
- Det befintliga strategiska och operativa samarbetet mellan medlemsstaterna ska förstärkas.
Nytt i NIS2!
Klassning
Entiteter ska klassas om de är en väsentlig eller en viktig entitet. Klassificeringen ska göras utifrån deras betydelse för den sektor de verkar inom eller den tjänst de tillhandahåller, liksom utifrån deras storlek. Väsentlig entitet är den entitet som är mest känslig och drabbas av högre ekonomiska påföljder.
Sanktioner
Vid överträdelse av artikel 21-23 i EU-direktivet ska sanktioner påföras.
- Artikel 21 – Riskhanteringsåtgärder för cybersäkerhet
- Artikel 22 – Samordnade säkerhetsbedömningar på unionsnivå av kritiska leveranskedjor
- Artikel 23 – Rapporteringsskyldigheter
Sanktionerna är administrativa och delas på väsentliga och viktiga entiteter.
- Väsentliga: högst 10 000 000 EUR eller högst 2% av den totala globala årsomsättningen
- Viktiga: högst 7 000 000 EUR eller högst 1,4% av den totala globala årsomsättningen
Utredningen kommer att ge mer vägledning om hur organisationen vet om de omfattas av direktivet förutom att organisationen ingår i en av sektorerna. Till NIS1 finns idag riktlinjer för att ta reda på om organisationen ska omfattas eller ej. Motsvarande förväntar vi oss på Silenta ska komma även för de tillkommande sektorerna och eventuellt uppdaterad version för de sju sektorerna som ingår i NIS1.
Utredningen kommer även att ta ställning till bland annat:
- Om kommuner ska ingå i offentlig förvaltning, om universitet och högskolor, eller ett urval av dessa, ska omfattas under Forskning.
- Om nuvarande struktur för tillsyn kan användas för att lägga till de ökade kraven och göra nödvändiga ändringar.
- Om nya tillsynsmyndigheter ska tillsättas eller befintliga kan nyttjas med ett ökat ansvar
- Vilka system som ska användas för upprättande av en förteckning över de klassificerade entiteterna, incidenthantering och rapportering, med mera.
Som en summering av det EU vill åstadkomma så behöver alla företag, organisationer, myndigheter, med flera, bli bättre på säkerhet.
Vi på Silenta ser framemot resultaten från utredningen och fram till dess och fram till när direktivet börjar gälla så råder vi er att ta hjälp och börja implementera er informationssäkerhet oavsett om ni kommer att omfattas eller ej. Det finns fler än NIS och NIS2 som ställer krav på en god informationssäkerhet, tex GDPR.
Vad kan man göra redan nu?
Då NIS2 har som syfte att skydda samhällsviktiga organisationer från externa hot så rekommenderar vi en grundläggande Informationssäkerhetsgenomgång. På så vis har man lagt en bra grund för kommande direktiv för att skydda verksamheten för yttre hot och upprätthålla lagstiftningen. Läs mer: Informationssäkerhet GAP
Vill du veta mer!
Vill du komma i kontakt med oss för att får mer information kan du boka ett möte genom att klicka på knappen ”Boka möte”. Då kommer du till en tidsbokning där du själv väljer en ledig tid. Alternativt kan du kontakta oss via formuläret ”Hör av dig” eller ringa oss på det telefonnummer som du hittar längs ner på denna sida.
Utbildning
Vi hjälper er med att utbilda användarna i er organisation, oavsett position, så att GDPR eller god informationssäkerhet kan upprätthållas.
Riskanalys
Vi hjälper er med att hitta de risker som finns i hanteringen av information, inklusive personuppgifter, hos företaget och ta fram en handlingsplan.
Boolebox
En säkerhetsplattform som säkerställer konfidentialitet, riktighet och tillgänglighet.
Läs mer >>
Boka en kostnadsfri konsultation
Välkomna att boka en kostnadsfri konsultation med oss!
30 minuter digitalt möte
Vill du veta mer om hur vi behandlar dina kontaktuppgifter? Läs vår integritetspolicy