NIS2

Vad är NIS2?

NIS2 är en uppdatering av EU:s cybersäkerhetsdirektiv (NIS) med fokus på att skydda mot cyberhot. Det innebär strängare krav och tydligare riktlinjer för att:

  • Förbättra organisationers cyberförsvar: Att bygga robusta system och rutiner som effektivt kan stå emot cyberattacker.
  • Främja informationsdelning: Underlätta samarbete och informationsutbyte mellan myndigheter, företag, organisationer och experter.
  • Gemensamma krav och riktlinjer för cybersäkerhet.

Vad kan Datea hjälpa till med gällande NIS2?

Rent tekniskt uppfyller de flesta av våra kunder NIS2. EU kräver dock mer än tekniskt robusta säkerhetslösningar. Nedan på denna webbsida hittar du rubriken "Fem punkter för NIS2" och i princip alla punkterna avser att interna rutiner finns på plats och är förmedlade i organisationen. Datea kan stödja ert NIS2-arbete genom att bygga ramarna för ett intranet baserat på Microsoft SharePoint. Här kan ni sen centralt skapa, samla och enkelt dela information, rutiner och dokumentation till alla medarbetare.

 Fem punkter för NIS2

  1. Incidentrapportering: Företag måste rapportera kritiska cybersäkerhetsincidenter inom 24 timmar till tillsynsmyndigheten, och lämna en sammanfattning och hantering till berörda myndigheter inom 72 timmar.

  2. Riskhantering: Organisationer måste genomföra regelbundna riskbedömningar och vidta lämpliga åtgärder för att hantera cybersäkerhetsrisker.

  3. Informationssäkerhet & utbildning: Krav på att ha tekniska och strategiska åtgärder för att skydda sina system och data. Ledningen måste utbildas inom området och kan bli personligt ansvariga för incidenter. Vi rekommenderar att ha kontinuerlig utbildning för hela personalstyrkan, eftersom cyberkriminella ofta riktar in sig mot alla anställda i organisationen och ständigt hittar nya vägar.

  4. Incidentrespons: Företag ska ha en plan för att hantera incidenter och kunna återställa sin verksamhet.

  5. Leverantörsansvar: Man måste som företag vidta åtgärder för att hantera cybersäkerhetsrisker i sin leverantörskedja.

Frågor & svar om NIS2

När börjar NIS2 att gälla?

Enligt svensk lag ska NIS2 vara implementerat senast den 18 oktober 2024, till dess måste berörda företag ha anpassat sina verksamheter. 

Vad händer om man inte följer NIS2?

Precis som med GDPR kan man enligt lag ålägga verksamheter böter för att inte följa direktivet. Ett företag eller organisation kan bli skyldigt upp till 10 miljoner euro eller 2 % av företagets årliga globala omsättning.

Vem omfattas av NIS2?

NIS2 omfattar framför allt samhällskritiska verksamheter men påverkar även indirekt företag som är underleverantörer. De grundläggande riktlinjerna för NIS2 är relevanta för alla organisationer, oavsett storlek eller bransch. Vi rekommenderar därför att alla företag följer direktivet även om de inte omfattas direkt.

Sektorer som omfattas av NIS2:

  • Energi: Elektricitet, fjärrvärme och fjärrkyla, olja, gas och vätgas.
  • Transport: Luft-, järnvägs-, vatten- och vägtrafik.
  • Bankverksamhet och finansmarknadsinfrastruktur: Banker, börser och andra finansiella institutioner.
  • Hälsa: Sjukhus, vårdcentraler och tillverkare av läkemedel och vacciner.
  • Dricksvatten och avloppsvatten: Leverantörer av vatten- och avloppstjänster.
  • Digital infrastruktur: Internetutbytespunkter, DNS-leverantörer, toppdomänregister, molntjänstleverantörer, datacenterleverantörer, innehållsleveransnätverk och betrodda tjänstetillhandahållare.
  • Telekommunikation: Leverantörer av allmänna elektroniska kommunikationsnät och tjänster.
  • IKT-tjänster: Hanterade tjänsteleverantörer och leverantörer av förvaltade säkerhetstjänster.
  • Offentlig förvaltning: Statliga myndigheter och institutioner.
  • Rymden: Organisationer som bedriver rymdverksamhet.
  • Post- och budtjänster: Postoperatörer och budfirmor.
  • Avfallshantering: Företag som hanterar och transporterar avfall.
  • Kemikalier: Tillverkare och distributörer av kemikalier.
  • Livsmedel: Tillverkare och distributörer av livsmedel.
  • Medicintekniska produkter: Tillverkare av medicintekniska produkter.
  • Tillverkningsindustri: Tillverkare av datorer, elektronik, maskiner, fordon och annan transportutrustning.
  • Digitala plattformar: Onlinemarknadsplatser, sökmotorer och plattformar för sociala nätverkstjänster.
  • Forskning: Forskningsorganisationer som bedriver forskning inom områden som kan ha en betydande inverkan på samhället eller ekonomin

Det är viktigt att notera att detta inte är en uttömmande lista. Ytterligare sektorer kan omfattas av NIS2-direktivet beroende på deras specifika verksamhet och den potentiella risken för cybersäkerhetsincidenter.

Copyright © Datea AB - Din IT, vårt ansvar!