NIS2-direktivet: vad innebär det för din verksamhet?

NIS2-direktivet: vad innebär det för din verksamhet?

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Cyberhoten mot samhället ökar dramatiskt. Bara under förra året drabbades flera svenska sjukhus och energibolag av allvarliga cyberattacker.

I takt med att digitaliseringen accelererar blir allt fler samhällsviktiga funktioner uppkopplade och sårbara. Från elnätets styrsystem till sjukhusens journaler. Vårt samhälle är idag mer beroende av fungerande IT-system än någonsin tidigare. Men med de digitala möjligheterna följer också nya risker.

För att möta dessa utmaningar har EU tagit fram ett nytt direktiv, NIS 2. Det är den mest omfattande cybersäkerhetsreformen hittills och kommer att påverka tusentals verksamheter i Sverige. Men omfattas din organisation? Och vad behöver ni göra för att vara redo när de nya kraven träder i kraft?

Vad är NIS2?

I Sverige kommer NIS2 att införas genom den nya cybersäkerhetslagen (CSL), en lagstiftning som vidareutvecklar EU:s tidigare direktiv för nätverks- och informationssystem.

Syftet med NIS2 är att stärka cybersäkerheten inom EU genom att:

NIS2-direktivet omfattar flera samhällskritiska sektorer, med särskilt fokus på energiförsörjning, finansiella tjänster, hälso- och sjukvård samt transport. Inom dessa områden berörs allt från elproduktion och banker till sjukhus och kollektivtrafik, verksamheter som är grundläggande för ett fungerande samhälle.

Medan flera EU-länder redan implementerat NIS 2 under hösten 2024, har Sverige valt att ta mer tid för att säkerställa en genomtänkt anpassning till svenska förhållanden. Den svenska implementeringen kommer därför att träda i kraft först under sommaren 2025 som en del av CSL.

Vilka omfattas av NIS2?

För att förstå om din verksamhet faller under NIS2-direktivet är det viktigt att först identifiera om du verkar inom någon av de sektorer som EU klassar som kritiska.

Dessa sektorer är noga utvalda baserat på deras betydelse för samhället och omfattar bland annat:

Om din verksamhet kan anses vara en leverantör av väsentliga tjänster inom någon av dessa sektorer - det vill säga att ett avbrott i din verksamhet skulle kunna få allvarliga konsekvenser för samhället - omfattas även du med stor sannolikhet av NIS2.

Detta gäller särskilt om man exempelvis levererar kritiska IT-system till sjukvården eller styrsystem för energidistribution.

Säkerhetskrav i NIS 2

Vilka säkerhetskrav ställer NIS2?

NIS2 ställer nya och tydligare krav på hur organisationer ska skydda sig mot cyberattacker och andra digitala hot. Målet är att säkra viktiga samhällsfunktioner genom bättre IT-säkerhet.

Tekniska säkerhetsåtgärder

Direktivet kräver att organisationer implementerar moderna säkerhetslösningar för att skydda nätverk och informationssystem.

Detta inkluderar stark åtkomstkontroll, kryptering av känslig information, säker fjärråtkomst samt system för att upptäcka och förhindra cyberattacker. Ett särskilt fokus läggs på segmentering av nätverk och regelbunden säkerhetskopiering av kritiska data.

Organisatoriska krav

Ett centralt krav i NIS 2 är att cybersäkerhet inte längre kan ses som enbart en IT-fråga. Organisationens ledning måste ta ett aktivt ansvar och säkerställa att tillräckliga resurser avsätts.

Detta innebär regelbunden utbildning av personal, tydliga processer för incidenthantering och en dokumenterad säkerhetspolicy som kontinuerligt uppdateras.

Incidentrapportering

En betydande förändring i NIS 2 är de skärpta kraven på incidentrapportering. Organisationer måste:

Riskhantering

Direktivet kräver ett systematiskt arbete med riskhantering där organisationer regelbundet ska:

Leverantörskedjan

NIS 2 ställer också krav på hur organisationer hanterar sina leverantörer.

Detta innebär att:

Att följa de nya kraven stärker både din organisation och samhällets cybersäkerhet. Men tänk på att börja anpassningen i tid, då många av förändringarna tar tid att genomföra.

För att underlätta arbetet med leverantörshantering erbjuder vi på ChainSec en modul som förenklar både kravställning och uppföljning av leverantörers säkerhetsarbete.

Du kan även läsa vår artikel 10 säkerhetsåtgärder för efterlevnad av NIS2-direktivet.