NIS 2-direktivet är nu publicerat och nedräkningen börjar för den tidsfrist som organisationer i EU har för att anamma direktivet. Den 18 oktober 2024 börjar direktivet att gälla och då måste alla som berörs ha anpassat sina verksamheter. Bland annat gäller det uppdaterade direktivet för fler sektorer, fler tillägg och ett ökat fokus på kryptering.
Anledningen till utvecklingen av NIS 2
Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå – detta kallas NIS 2.
NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:
- Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
- Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
- Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering
Vad är nytt med NIS 2?
Baserat på dessa brister har nya tillägg gjorts, vilket har resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:
- Större skala än NIS, fler sektorer betraktas som viktiga tjänster (lista längre ner)
- Chefer hålls ansvariga för att säkra verksamheten.
- Incidentrapportering måste nu göras inom 24 timmar istället för 72 timmar.
- Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
- Säkerhet för leverantörskedjor och leverantörer
- Striktare tillsynsåtgärder för nationella myndigheter
- Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
- Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
- Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten. Böterna kommer att vara upp till 10 MEUR eller 2 % av verksamhetens totala omsättning i hela världen. Läs vår blogg om hur du kan undvika dessa sanktioner!
- Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter
Rekommendationer om kryptering
I NIS 2 finns även rekommendationer om att använda kryptering och kryptografi. Bland annat kan kryptering och relaterade säkerhetsmetoder (autentisering, integritetsbevaring samt oförnekbarhet) inbegripas i insatser som ska skydda nätverks- och informationssystem. Det nämns även att allmänna elektroniska kommunikationsnät och tillgängliga elektroniska kommunikationstjänster bör använda kryptering och speciellt sådan kryptering som kallas end-to-end-kryptering.
Fler sektorer och företag påverkas av NIS 2
Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas. Detta som en åtgärd för att svara på Europas ökade exponering för cyberhot.
I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.
Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.
Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.
Utvidgningen av räckvidden som omfattas av de nya reglerna, genom att effektivt tvinga fler verksamheter och sektorer att vidta åtgärder för hantering av cybersäkerhetsrisk, kommer att bidra till att öka cybersäkerhetsnivån i Europa på medellång och lång sikt.
Vill du veta mer om NIS-direktivet och NIS 2? Läs vår know-how!
