NIS 2 (Network and Information Systems Directive) är en EU-direktiv som syftar till att öka säkerheten för informationssystem och nätverk i EU. Direktivet har som mål att förbättra skyddet mot cyberattacker och förebygga störningar i informationssystem och nätverk som är viktiga för samhället och den inre marknaden.
Direktivet kräver att medlemsstaterna inför lämpliga åtgärder för att skydda mot cyberhot och förebygga störningar i viktiga sektorer, såsom energisektorn, finansiella tjänster, transportsektorn och viktiga offentliga tjänster. Direktivet fokuserar också på att öka samarbetet mellan medlemsstaterna och gemensamma åtgärder för att öka säkerheten för informationssystem och nätverk i EU.
Fler organisationer omfattas av NIS 2. Det finns en del saker du kan göra för att undersöka om din verksamhet påverkas av NIS 2-direktivet:
Kontrollera om din verksamhet tillhör någon av de sektorer eller branscher som direktivet riktar sig till. Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur pekas ut som specifika sektorer. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden. Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.
Läs igenom direktivet för att få en bättre förståelse av vad det kräver och om det kan påverka din verksamhet. Du kan hitta direktivet på EU:s webbplats.
Kontakta din nationella myndighet för att få mer information om hur direktivet påverkar din verksamhet och vad du behöver göra för att uppfylla de krav som ställs.
Rådgör med en expert för att få hjälp att förstå hur direktivet påverkar din verksamhet och vad du behöver göra för att uppfylla kraven.
Nya tillägg i NIS 2
Baserat på en rad brister i det tidigare NIS-direktivet har nya tillägg gjorts. Dessa är de mest framträdande tilläggen:
Fler sektorer betraktas som viktiga tjänster
Chefer hålls ansvariga för att säkra verksamheten.
Incidentrapportering måste nu göras inom 24 timmar istället för 72 timmar.
Högre krav på säkerhet och rapportering.
Striktare tillsynsåtgärder för nationella myndigheter
Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2 % av verksamhetens globala omsättning, beroende på vilket som är högst.
Omfattas din organisation av NIS 2? Det här behöver du göra:
Organisationen har skyldighet att anmäla till tillsynsmyndigheten att de berörs av NIS-regleringen
Organisationen ska kontinuerligt arbeta strukturerat, metodiskt och riskbaserat med informationssäkerhet enligt vedertagna standardiserade ramverk (ISO 27000-standarden eller motsvarande)
Årligen analysera verksamhetens risker och upprätta åtgärdsplaner.
Vidta ändamålsenliga åtgärder för att hantera risker som hotar säkerheten
Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.
Källa: Advenica
