Artikel | 24 Mar 2023
Setterwalls Tech Regulatoriska Nyhetsserie – NIS2
Vad: NIS2 (Network and Information Security) är ett nytt EU-direktiv som kommer att ersätta NIS-direktivet. NIS2 kommer att kräva att fler organisationer måste efterfölja striktare krav på cybersäkerhet.
Vem: NIS2 kommer att gälla för alla medelstora och stora organisationer som är verksamma inom följande sektorer: hälsovård, tillverkning av vissa kritiska produkter (t.ex. läkemedel, medicintekniska produkter och kemikalier), digital infrastruktur, leverantörer av allmänt tillgängliga elektroniska kommunikationsnätverk eller tjänster, transport, post- och budtjänster, offentlig förvaltning, vattenförsörjning, avloppsvatten och avfallshantering, energi, digitala tjänsteleverantörer och digitala tjänster (t.ex. sociala nätverksplattformar och datacentertjänster), bank- och finansmarknadsinfrastruktur, mat och rymd (t.ex., flyg).
När: EU:s medlemsländer måste anta NIS2 i nationell lagstiftning för att därefter träda i kraft den 18 oktober 2024,
Lärdom: NIS2 innebär striktare krav jämfört med det första NIS-direktivet avseende:
- säkerhetskrav,
- rapporteringsskyldighet, och
- verkställighetskrav för en bredare omfattning av organisationer.
Att göra: För att upprätthålla en hög säkerhetsnivå hos viktiga tjänsteleverantörer kommer NIS2 kräva att relevanta organisationer efterföljer strikta krav avseende att:
- Slutföra en riskbedömning och ha tillräckliga säkerhetspolicyer för informationssystem på plats.
- Förebygga, upptäcka och reagera på incidenter på lämpligt sätt.
- Krishantering och operativ kontinuitet vid en större cyberincident.
- Säkerställa säkerheten för deras leveranskedja, inklusive leverantörer av databehandlings- eller lagringstjänster.
- Säkerställa säkerheten för deras nätverk och informationssystem, från förvärvet till utvecklings- och underhållsstadiet.
- Att ha policyer och rutiner på plats som bedömer effektiviteten i hanteringen av cybersäkerhetsrisk.
- Använda kryptografi och kryptering.
Tillämpning: Om en organisation bryter mot NIS2 kan organisationen kunna komma att behöva betala en sanktionsavgift på 10 miljoner EUR eller 2 % av organisationens årliga globala bruttointäkter (samma som GDPR-sanktionsavgifterna för en mindre allvarlig överträdelse). Dessutom kan medlemmar i ledningen för organisationer som inte uppfyller kraven komma att hållas personligen ansvariga för NIS2-bristerna.
Gör en Setterwalls NIS2 Gap Analysis och ta reda på vad din organisation behöver göra för att uppfylla kraven.