Gör er redo för NIS2
NIS2-direktivet, en uppdatering av det tidigare NIS-direktivet, syftar till att stärka cyber- och informationssäkerheten inom EU. Det nya direktivet ställer högre krav på organisationer, särskilt de som är verksamma inom samhällskritiska sektorer, att skydda sina nätverk och informationssystem mot cyberhot. I den här artikeln svarar vi på de vanligaste frågorna om NIS2.
Vad är NIS2?
NIS2-direktivet är en förlängning av det tidigare NIS-direktivet som infördes för att förbättra säkerheten i nätverk och informationssystem inom EU. NIS2 skärper kraven på IT-säkerhet ytterligare och inkluderar fler branscher, för att säkerställa en robust cybersäkerhet. Målet är att motverka och hantera cyberhot mot främst samhällskritiska infrastrukturer, men kan även vara ett bra regelverk att förhålla sig till även för företag som inte går under direktivet.
Vilka branscher omfattas av NIS2?
NIS2-direktivet omfattar fler sektorer jämfört med föregångaren. De branscher som nu inkluderas i NIS2 är företag som arbetar med:
- Energi: Elektricitet, olja, gas, värme och kyla.
- Transport: Luftfart, järnväg, sjöfart och vägtransport.
- Bank: Finansiella tjänster och transaktioner.
- Finansiella marknader: Infrastruktur som stödjer finansiella transaktioner.
- Hälsa: Sjukvårdstjänster och infrastruktur.
- Dricksvatten: Produktion, distribution och behandling av dricksvatten.
- Avloppshantering: Hantering och behandling av avloppsvatten.
- Digital infrastruktur: Molntjänster, datacentraltjänster, nätverk för leverans av innehåll, kommunikationstjänster.
- Offentlig förvaltning: Myndigheter och offentliga tjänster, både på nationell och regional nivå.
- Rymden: Operatörer av markbaserad infrastruktur, ägd och förvaltad av medlemsstater eller privata aktörer, som stöder leveransen av rymdbaserade tjänster.
- Post och budtjänster: Insamling, sortering, transport och utdelning av postförsändelser.
- Digitala leverantörer: Leverantörer av marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster.
- Tillverkning: Särskilt viktiga tillverkningssektorer såsom läkemedel, medicintekniska produkter, dator- och elektronikprodukter, elektronisk utrustning och maskiner.
Vilka krav ställs på organisationer enligt NIS2?
Verksamheter måste implementera rutiner för riskhantering, incidentrapportering och säkerhetsåtgärder som följer internationella standarder som ISO/IEC 27001. Direktivet ställer även krav på att ledningen i dessa organisationer aktivt arbetar för en säkrare IT-miljö och upprätthåller kontinuerlig övervakning av risker, rapporterar och integrerar riskhantering i den övergripande företagsstrategin.
När börjar NIS2 gälla?
Enligt de senaste uppgifterna träder direktivet i kraft den 1 Januari 2025. Alla berörda organisationer måste vara redo att uppfylla de nya kraven från och med detta datum.
Hur kan små och medelstora företag (SMB) förbereda sig för NIS2?
För små och medelstora företag kan det vara en utmaning att anpassa sig till och uppfylla kraven i NIS2-direktivet. Här är några steg som förbereder er:
1. Riskbedömning
Först bör man genomföra en omfattande riskbedömning för att identifiera och förstå potentiella säkerhetsrisker i nätverk och informationssystem, både interna och externa.
2. Uppdatera eller inför säkerhetspolicy's
Baserat på riskbedömningen bör man utveckla eller uppdatera befintliga säkerhetspolicy's och processer. Policy's ska vara anpassade till företagets specifika behov och risker.
3. Säkerhetsåtgärder och teknik
Implementera åtgärder i era processer och teknik för att förhöja skyddet mot de identifierade riskerna. Eventuellt behöver ni ett responsteam som kontinuerligt övervakar er IT-miljö eller kanske räcker det med enklare tjänster, beroende på hur kritiska era system är. Se även över annan teknik så som brandväggar, antivirusprogram och kryptering.
4. Utbildning
Se till att all personal får regelbunden utbildning och uppdatering om cybersäkerhet. Personalen bör vara medveten om de senaste riktlinjerna att förhålla sig till för att säkerställa säkerhet och förebygga hot.
5. Incidenthantering och Backup-planer
Ta fram och testa en incidenthanteringsplan som förklarar steg för steg hur ni rapporterar, hanterar och återhämtar er från cyberincidenter. Det är viktigt att ha en plan redo, för att snabbt åtgärda och minimera skadan.
6. Leverantörssäkerhet
Säkerställ att alla leverantörer och underleverantörer följer nödvändiga riktlinjer. Det kan krävas att ni inkluderar specifika säkerhetskrav i kontrakt.
7. Regelbundna uppföljningar och testning
Genomför regelbundna uppföljningar och penetrationstestning för att identifiera och åtgärda sårbarheter i era system.
8. System för övervakning
Ha system på plats för att kontinuerligt övervaka att nya regler och lagar efterlevs.
9. Ta in professionell hjälp
Ta hjälp från cybersäkerhetsexperter eller konsulter som kan erbjuda rådgivning och stöd för att förbereda och anpassa verksamheten enligt kraven i NIS2.
Vilka blir konsekvenserna om man inte följer NIS2-direktivet?
Överträdelser av NIS2-direktivet kan leda till betydande böter och påföljder. Dessa varierar beroende på överträdelsens allvar och företagets storlek.
Vilka standarder kan hjälpa till att implementera NIS2?
Internationella standarder som ISO/IEC 27001, ISO/IEC 27002 och ISO/IEC 27005 är användbara verktyg för att strukturera säkerhetsåtgärder och riskhanteringsprocesser i enlighet med NIS2-direktivets krav.
Känns det fortfarande krångligt?
Vi förstår att det fortfarande finns en hel del frågetecken och osäkerheter kring det nya direktivet. Norteam hjälper gärna till med att titta närmare på era system för att säkerställa att de stödjer och efterlever den standard som direktivet kräver. Kontakta oss för att höra mer!
