artikel | 24 mar 2023

Setterwalls Tech Regulatoriska Nyhetsserie – NIS2

Responsive image

Vad: NIS2 (Network and Information Security) är ett nytt EU-direktiv som kommer att ersätta NIS-direktivet. NIS2 kommer att kräva att fler organisationer måste efterfölja striktare krav på cybersäkerhet.

Vem: NIS2 kommer att gälla för alla medelstora och stora organisationer som är verksamma inom följande sektorer: hälsovård, tillverkning av vissa kritiska produkter (t.ex. läkemedel, medicintekniska produkter och kemikalier), digital infrastruktur, leverantörer av allmänt tillgängliga elektroniska kommunikationsnätverk eller tjänster, transport, post- och budtjänster, offentlig förvaltning, vattenförsörjning, avloppsvatten och avfallshantering, energi, digitala tjänsteleverantörer och digitala tjänster (t.ex. sociala nätverksplattformar och datacentertjänster), bank- och finansmarknadsinfrastruktur, mat och rymd (t.ex., flyg).

När: EU:s medlemsländer måste anta NIS2 i nationell lagstiftning för att därefter träda i kraft den 18 oktober 2024,

Lärdom: NIS2 innebär striktare krav jämfört med det första NIS-direktivet avseende:

  • säkerhetskrav,
  • rapporteringsskyldighet, och
  • verkställighetskrav för en bredare omfattning av organisationer.

Att göra: För att upprätthålla en hög säkerhetsnivå hos viktiga tjänsteleverantörer kommer NIS2 kräva att relevanta organisationer efterföljer strikta krav avseende att:

  • Slutföra en riskbedömning och ha tillräckliga säkerhetspolicyer för informationssystem på plats.
  • Förebygga, upptäcka och reagera på incidenter på lämpligt sätt.
  • Krishantering och operativ kontinuitet vid en större cyberincident.
  • Säkerställa säkerheten för deras leveranskedja, inklusive leverantörer av databehandlings- eller lagringstjänster.
  • Säkerställa säkerheten för deras nätverk och informationssystem, från förvärvet till utvecklings- och underhållsstadiet.
  • Att ha policyer och rutiner på plats som bedömer effektiviteten i hanteringen av cybersäkerhetsrisk.
  • Använda kryptografi och kryptering.

Tillämpning: Om en organisation bryter mot NIS2 kan organisationen kunna komma att behöva betala en sanktionsavgift på 10 miljoner EUR eller 2 % av organisationens årliga globala bruttointäkter (samma som GDPR-sanktionsavgifterna för en mindre allvarlig överträdelse). Dessutom kan medlemmar i ledningen för organisationer som inte uppfyller kraven komma att hållas personligen ansvariga för NIS2-bristerna.

Gör en Setterwalls NIS2 Gap Analysis och ta reda på vad din organisation behöver göra för att uppfylla kraven.

Vill du komma i kontakt med oss?

Fyll i formuläret samt vilket kontor du vill bli kontaktad av, så hör vi av oss inom kort.