NIS2 För att sätta standarden för cybersäkerhet i EU måste företag i olika sektorer tillhandahålla bevis på sin säkerhetsstrategi. Nedräkningen har börjat och det är dags att förbereda sig tillsammans!
Sedan den 18 oktober 2024 är EU:s nya cybersäkerhetsdirektiv – NIS2 – obligatoriskt. Denna bindande förordning sätter standarden för cybersäkerhet i hela Europeiska unionen och tvingar företag från olika sektorer att dokumentera sin säkerhetsstrategi.
Företag uppmanas att agera.
Vad är NIS2?
Med NIS2 (nät- och informationssäkerhet) har EU infört strikta regler för cybersäkerhet för sina medlemsländer. NIS2 är efterföljaren till NIS-direktivet, som trädde i kraft 2016. Implementeringen av en holistisk säkerhetsstrategi är därför inte längre bara nödvändig för att skydda mot cyberattacker, utan krävs också enligt lag.
Medlemsstaterna skulle anta de bestämmelser som är nödvändiga för att följa NIS2-direktivet senast den 17 oktober 2024 och tillämpa dessa bestämmelser från och med den 18 oktober 2024.
Hur skiljer sig NIS 1 från NIS 2?
NIS 2 är en förbättrad version av 2016 års NIS-direktiv, som redan var avsett att säkerställa en hög säkerhetsnivå för nätverks- och informationssystem i unionen, men som hade vissa svagheter.
De viktigaste skillnaderna mellan NIS 1 och NIS 2 är:
-
Den nya versionen inkluderar fler sektorer och företag som är viktiga för samhället och ekonomin, såsom energi, hälso- och sjukvård, transport och digital infrastruktur.
-
Enligt NIS 2 ska berörda företag och organisationer ha en effektiv riskhantering och rapportera allvarliga eller betydande cyberincidenter till de behöriga nationella myndigheterna, som sedan kan vidta nödvändiga åtgärder. NIS 1 innehöll endast allmänna riktlinjer för säkerhetsåtgärder och rapportering av incidenter.
-
Det nya säkerhetsdirektivet föreskriver strängare sanktioner för medlemsländerna, som kan uppgå till upp till 20 miljoner euro eller fyra procent av den globala omsättningen om de berörda företagen och organisationerna inte genomför nödvändiga säkerhetsåtgärder eller inte rapporterar allvarliga eller betydande cyberincidenter till de behöriga nationella myndigheterna. NIS 1 överlät fastställandet av sanktioner till medlemsstaterna, vilket ledde till en inkonsekvent tillämpning.
-
NIS 2 betonar ledningens personliga ansvar för cybersäkerhet och föreskriver för första gången att VD är ansvariga med sina personliga tillgångar om de inte uppfyller de rättsliga kraven.
Vem påverkas av detta?
Vilka företag är skyldiga att genomföra NIS2-direktivet?
Viktiga anläggningar: Detta är de organisationer som är aktiva på området för kritisk infrastruktur. Dessa inkluderar till exempel energi, transport, vattenhantering, hälsovård och bankverksamhet.
Viktiga anläggningar: I denna kategori ingår de ledande företagen inom livsmedels- och kemiindustrin samt de som ansvarar för tillverkningen av elektriska apparater, maskiner och fordon.
Dessutom har medlemsstaterna själva möjlighet att utvidga de målgrupper som berörs av NIS2. De kan lägga till ytterligare anläggningar på sina nationella listor och ålägga lokala myndigheter, utbildningsinstitutioner med flera att genomföra direktiven.
Vilka är påföljderna?
NIS 2-direktivet tillämpas strikt och omfattar höga böter för bristande efterlevnad eller underlåtenhet att fullgöra rapporteringsskyldigheter. Bötesbeloppet beror på kategoriseringen av de enskilda företagen.
Företag som klassificeras som ”viktiga” måste betala böter på mellan 7 miljoner euro och högst 1,4 % av sin totala globala årsomsättning under det föregående räkenskapsåret. Företag riskerar böter på upp till 10 miljoner euro eller högst 2 % av sin totala globala årsomsättning.
Aktsamhetsplikten inom området cybersäkerhet är inte förhandlingsbar och den högsta ledningen har en skyldighet att leda genomförandet och övervakningen av dessa cybersäkerhetsåtgärder.
Vad innebär det för dig i praktiken?
NIS 2-direktivet är ett EU-direktiv som trädde i kraft den 16 januari 2023 och syftar till att förbättra cybersäkerheten och motståndskraften hos kritisk infrastruktur och leverantörer av digitala tjänster. Enligt direktivet ska de berörda företagen och organisationerna ha en effektiv riskhantering och rapportera allvarliga eller betydande cyberincidenter till de behöriga nationella myndigheterna, som sedan kan vidta nödvändiga åtgärder. För att minimera den potentiella skadan för användare, miljö och allmän ordning är målet att identifiera säkerhetsbrister i ett tidigt skede och vidta förebyggande åtgärder mot dem. För att säkerställa att alla inblandade parter följer samma höga standarder är företagen också ansvariga för att säkerställa säkerheten i hela leveranskedjan och vidarebefordra kraven till sina affärspartners och leverantörer. Andra åtgärder omfattar bland annat:
-
Genomförande av lämpliga och proportionerliga säkerhetsåtgärder som överensstämmer med gällande standarder och bästa praxis för att säkerställa sekretess, integritet, tillgänglighet och äkthet för deras uppgifter och tjänster.
-
Skapande och uppdatering av en kontinuitetsplan som gör det möjligt att återställa normala driftförhållanden efter en cyberincident.
-
För att förhindra obehörig åtkomst införs flerfaktorsautentisering för åtkomst till deras nätverk och informationssystem.
EU:s byrå för cybersäkerhet (ENISA) kommer att spela en viktig roll när det gäller att övervaka och stödja tillämpningen av denna lag.
Tidsplan för NIS2
NIS2-direktivet trädde i kraft den 16 januari 2023 och skulle införlivas i nationell lagstiftning senast den 17 oktober 2024. Genomförandet av direktivet kommer att granskas av kommissionen var 36:e månad, med början den 17 oktober 2027.
Det är dags att bli aktiv och förbereda sig.
NIS 2 trädde redan i kraft den 16 januari 2023
Vårt heltäckande 360°-Security-koncept
360°-Security – vårt fullständiga utbud utan kompromisser
Cybersäkerhetens dynamiska värld utvecklas konstant och införandet av NIS 2-direktivet understryker detta faktum. Medan vi väntar på att direktivet ska implementeras i nationell lagstiftning för att få full verkan är brådskan att vidta åtgärder obestridlig.
För att uppfylla de stränga kraven i NIS 2 måste vi förlita oss på europeiska och internationella standarder, som utgör vår grund. Dessa standarder definierar inte bara säkra produkter, utan fastställer även principerna för implementering av robusta säkerhetssystem. Ett utmärkt exempel är IEC 62443, en globalt erkänd serie standarder för säkerhet inom automation. Vårt heltäckande säkerhetskoncept 360° omfattar både tekniska och organisatoriska åtgärder som backas upp av motsvarande IEC 62443-certifieringar.