NIS… vad? Det nya europeiska NIS2-direktivet är efterföljaren till NIS (nätverks- och informationssäkerhetsdirektivet) och träder i kraft den 17 oktober 2024. Det kan tyckas långsökt, men det nya direktivet täcker mycket fler sektorer än vad som var fallet med det gamla NIS-direktivet. Faller du under de viktiga och väsentliga sektorerna? Då måste du vidta strängare åtgärder när det gäller informationssäkerhet, revision av leverantörer och rapportering av incidenter. Vi guidar dig igenom vad NIS2-direktivet innebär, vilka sektorer den nya standarden gäller för och hur din organisation kan förbereda sig nu tack vare ett bra risk- och revisionshanteringssystem.
Kanske har du som organisation din cybersäkerhet helt i ordning. Det skulle vara ganska unikt med tanke på antalet rapporter om cybersäkerhetsincidenter som fortsätter att stiga i en stark takt. Enligt Positive Technologies forskning kan externa cyberbrottslingar penetrera 93% av företagsnätverken
Vad som händer härnäst kan få dramatiska konsekvenser. Tänk bara på störningen av produktionsprocessen eller tjänsten, (att inte kunna) betala en lösensumma och läckaget av känslig information. Cyberbrottslighet riktar sig inte längre bara till stora organisationer: de ’små’ måste också ta itu med det: 43% av cyberattackerna riktar sig mot småföretag.
Cybersecurity Magazine ger några mer oroande siffror:
av småföretag indikerar att phishing är deras största säkerhetshot.
av de små organisationerna finner sin säkerhetspolicy ”mycket effektiv”.
av små och medelstora företag är oförberedda att återhämta sig från ekonomisk skada som orsakats av en cyberattack.
av småföretag är inte försäkrade mot cyberattacker, även om de vet att de inte skulle återhämta sig från en attack.
Organisationer vet alltså ofta att hoten finns, men steget att verkligen komma i gång med dem är ofta för stort. Lyckligtvis blir lagstiftningen allt strängare. Europa tar också digital säkerhet på allt större allvar.
Cybersäkerhet är oerhört viktigt för att skydda vårt samhälle. Av den anledningen införde Europeiska unionen nätverks- och informationssäkerhetsdirektivet 2016. Så nu finns det ett förnyat direktiv – NIS2 – för att skydda och förbättra cybersäkerheten och motståndskraften hos viktiga företag och tjänster i EU
Anledningen är inte svår att gissa: under de senaste åren har det blivit uppenbart att olika globala utvecklingar hotar vårt samhälle och vår ekonomi. Det handlar inte bara om cyberhot, utan också hot som COVID-19, kriget i Ukraina, mer nyligen den pånyttfödda konflikten i Gazaremsan och klimatförändringarna.
NIS2-direktivet syftar till att förbättra EU-medlemsstaternas digitala och ekonomiska motståndskraft och införlivas för närvarande i nationell lagstiftning. Under tiden har den officiella tidsfristen för genomförandet av NIS2-direktivet tillkännagivits: den 17 oktober 2024 träder direktivet i kraft Fram till dess har medlemsstaterna tid att fastställa allt i sin egen lagstiftning.
Okej, men vad exakt betyder det nya direktivet? En undersökning av Intrakoop (inköpskooperativ för hälso- och sjukvård) 2023 visade att 60 % av den undersökta vårdpersonalen aldrig hade hört talas om NIS2-direktivet…
Det är viktigt att vara förberedd och veta vad som förväntas av dig. När allt kommer omkring är det som anges i direktivet ganska komplext. Vi listar därför de viktigaste sakerna du behöver veta om NIS2 när det gälller dig.
Det gamla NIS-direktivet från 2016 fokuserar endast på viktiga företag för samhället, såsom hälso- och sjukvården och energisektorn. Det nya NIS2-direktivet är mycket mer omfattande och inkluderar även företag som är viktiga för samhället. Exempel på sådana är internetleverantörer och digitala tjänsteleverantörer, men även myndigheter.
Alla organisationer som kommer att omfattas av NIS2-direktivet kommer således att klassificeras som ”väsentliga” eller ”viktiga” Skillnaden mellan de två kategorierna är hur de verkställs. Om du som organisation i en väsentlig sektor inte följer reglerna kommer du därför att straffas hårdare än om din organisation faller under kategorin ”viktig”. En annan skillnad är att väsentliga enheter också måste hantera tillsyn i förväg.
Omfattas du av någon av de sektorer som anges ovan? Då har du en omsorgsplikt och en anmälningsskyldighet. Sidoanteckning: med undantag för företag med färre än femtio anställda och en årlig omsättning och balansomslutning på mindre än 10 miljoner euro.
Om du omfattas av NIS2-direktivet kommer du också att vara under övervakning. En oberoende handledare kommer att se till att din organisation följer omsorgsplikten och rapporteringen.
NIS2 syftar till att förbättra cybersäkerheten i de europeiska medlemsstaterna på olika sätt: genom att skärpa säkerhetskraven, ta itu med leverantörkedjans säkerhet, effektivisera rapporteringsskyldigheterna och så vidare.
Riskhantering är därför en viktig del av NIS2. Ordet nämns inte mindre än 144 gånger (!) i den slutliga versionen av NIS2. Riskerna som beskrivs i NIS2 handlar till stor del om digitala hot, men det går långt utöver det. Det nya direktivet listar också risker som naturliga och konstgjorda risker. Tänk på naturkatastrofer, terroristattacker och nödsituationer som pandemier.
Verktyg som Zenya RISK bidrar till att identifiera dessa risker. Tack vare programvaran får du insikt i de viktigaste riskerna och kan enkelt identifiera, kontrollera, övervaka och demonstrera dem. Eftersom dina kollegor behöver förstå vad deras roll kommer att vara i att följa NIS2, kan ett uppdaterat riskhanteringssystem bidra till att öka riskmedvetenheten i din organisation. På så sätt blir riskhantering något som inte bara bärs av de som är ytterst ansvariga inom säkerhetsområdet, utan av alla inom organisationen
När NIS2 träder i kraft kommer det inte längre att räcka att er organisation följer reglerna. Du måste också ta itu med säkerhetsriskerna i dina leverantörskedjor och leverantörsrelationer För även om du själv var helt säker kan ett misstag som begås av en av dina huvudleverantörer leda till att din tjänst stannar av. Detta kan få samma konsekvenser som om du gjorde misstaget själv.
Anta att du som energiproducent köper nya vindkraftverk från en leverantör för att utöka din kapacitet, och att den leverantören drabbas av en utpressningsattack Då kan du som leverantör av en väsentlig tjänst inte utöka din kapacitet. Så du måste också kartlägga vad du förväntar dig av leverantörer. Räcker det med att helt enkelt begära ISO 27001-certifikatet årligen? Skickar du ett frågeformulär som frågar dem om deras säkerhetsåtgärder? Eller ska du granska dig själv? Du måste tänka igenom detta noga och registrera det om din organisation snart kommer att falla under NIS2.
Lyckligtvis märker vi på Infoland att medvetenheten om leverantörernas betydelse för kärnverksamheten växer bland organisationerna. Organisationer granskar i allt högre grad leverantörer , och vi förväntar oss att detta kommer att öka ännu mer till följd av NIS2-direktivet. I vilken utsträckning leverantörer granskas beror på din organisations betydelse. Ju mer omfattande, desto mer intensivt och frekvent måste de granskas. Även om NIS2 huvudsakligen handlar om säkerhet, är riktlinjen naturligtvis mycket bredare än så och du måste därför granska på det sättet.
Med ett smart revisionshanteringssystem , som Zenya-kontroll, garanterar du denna process. Du stöds av tydliga scheman, automatiska uppgiftsscheman inklusive aviseringar och tydliga rapporter. Med detta revisionshanteringssystem kan du fokusera på en specifik standard – till exempel NIS2-direktivet – och därmed vara optimalt kompatibel.
Det finns fortfarande mycket att göra i de flesta organisationer. Även om du har bra säkerhetsprogramvara, även om de största riskerna har identifierats och även om du regelbundet granskar leverantörer – för att följa den nya lagen, måste du göra mer. Skapa medvetenhet bland anställda, till exempel behöver medvetenheten om de nya reglerna ökas.
För även om du vet vad det betyder, kanske en stor del av dina kollegor aldrig har hört talas om NIS2 eller tycker att det inte gäller för din organisation. Du kan öka medarbetarnas medvetenhet genom att organisera utbildnings- och informationssessioner. På så sätt blir dina kollegor inte överväldigade av information.
Efter att ha läst den här artikeln, är du fortfarande osäker på om din organisation omfattas av NIS2? Inspektionen för digital infrastruktur har släppt ett självutvärderingsverktyg som gör att du kan kontrollera om NIS2-direktivet gäller för din organisation. Verktyget visar också om du faller under kategorin ”väsentligt” eller ”viktigt”.
Den digitala förvaltningen. (2023, 10 oktober). NIS2-direktivet NIS2-direktivet – digital myndighet. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/
Nationellt cybersäkerhetscenter. (2023, 18 oktober). Vilka sektorer och organisationer omfattas av NIS2-direktivet? Om NCSC | Nationellt cybersäkerhetscenter. https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/valt-uw-organisatie-onder-de-cer-en-nis2-richtlijnen
ESET Digital Security. (2022, 23 augustus). Vad är NIS2? https://www.eset.com/nl/over/newsroom/corporate-blog/wat-is-nis2/
Nomios Belgien. (2023). Vad är NIS2 och vad betyder det för din organisation? https://www.nomios.be/resources/wat-is-nis2/
Intrakoop. (2023, 17 oktober). Intressanta resultat från Hälso- och sjukvårdens digitaliseringsrapport. https://www.intrakoop.nl/nieuws/details/2023/10/17/interessante-uitkomsten-rapport-digitalisering-gezondheidszorg
Begär broschyren och upptäck vad som gör denna svit och kombinationen av de fyra modulerna så kraftfull.
Undrar du vad Zenya kan göra för din organisation? Begär en gratis demo.
Kontakta gärna våra experter. Vi tänker gärna tillsammans med dig.