NIS2 – vad handlar det om och vilka omfattas egentligen?

Lagstiftarens sätt att säga att det är dags att jobba med informationssäkerhet – på riktigt! 

NIS2 är det nya EU-direktivet (EU) 2022/2555 för cybersäkerhet som antogs i december 2022 och trädde i kraft den 16 januari 2023. Den skulle ha införts som svensk lag senast den 17 oktober 2024, men införandet har ännu inte skett. I Sverige föreslås direktivet införlivas genom en ny cybersäkerhetslag, som behandlas av betänkandet ”Nya regler om cybersäkerhet (SOU 2024:18), även kallad Cybersäkerhetslagen. Det föreslås i betänkandet att lagen ska träda i kraft den 1 januari 2026, men detta datum är ännu inte helt fastställt.

NIS2-direktivets syfte är att öka och hålla en hög gemensam nivå av informations- och cybersäkerhet. Jämfört med det tidigare NIS-direktivet, ställs nu tydligare krav. Fler sektorer och organisationer omfattas. NIS2 skärper kraven genom att, exempelvis, ställa högre krav på ledningens engagemang och ansvar, riskhantering och krav på konkreta säkerhetsåtgärder. Där det ursprungliga direktivet lade grunden för samordnad cybersäkerhet hos medlemsstaterna, bygger NIS2 vidare med förstärkta krav, bredare tillämpning och ett mer genomgripande system- och designtänkande. Vi undersöker grundläggande aspekter av direktivet tillsammans och återger dem på ett mer lättillgängligt sätt, med risk för att överförenkla NIS2.

Vad är det då NIS2 faktiskt kräver?

I grunden handlar det om att organisationer som träffas av direktivet, också ska införa ett systematiskt, riskbaserat och proportionerligt informations- och cybersäkerhetsarbete. Det handlar inte om punktinsatser eller policyer på papper, utan om konkreta säkerhetsåtgärder som genomförs, följs upp, kontrolleras och utvecklas över tid. 

Direktivet gör klart att skyddet ska omfatta hela verksamheten, (där organisationer som omfattas benämns av direktivet som ”entiteter” och i Sverige kallas dessa för ”verksamhetsutövare”). Skyddet ska vara med från högsta förvaltningsnivå, genom processerna, informationsteknologin och till människorna. Det innebär också att säkerheten måste ses som ett ledningsansvar, där styrelse och högsta ledning är direkt ansvariga för att styrning, resurser och en sund säkerhetskultur är etablerad.

Men det slutar inte där. NIS2 tydliggör, som bekant, att det är helheten som avgör skyddsnivån; en kedja är inte starkare än sin svagaste länk. Därför pekar direktivet särskilt ut leverantörskedjor och tredjepartsberoenden som en del av riskbilden. Organisationer som samarbetar med aktörer som omfattas av NIS2 kan alltså behöva leva upp till högt ställda säkerhetskrav även om de själva inte omfattas direkt av lagstiftningen. Det skapar en kaskadeffekt för det tillämpade skyddet genom hela ekosystemet och här riskerar leverantörer eller tjänsteleverantör med låg mognad och bristfälligt skydd, att inte bli anställnings- eller brukbara. 

NIS2 handlar alltså inte bara om att “införa säkerhet” eller ”NIS2-säkra”, utan om att arbeta med informations- och cybersäkerhet, på riktigt. I praktiken innebär det att informations- och cybersäkerheten måste vara en integrerad del av organisationens styrning, struktur och dagliga operativa verksamhet. Informations- och cybersäkerhet måste vara naturligt sammanflätat med den övergripande verksamhetsarkitekturen, som ju inbegriper allt från affärsarkitekturens affärsmodeller till lösningsarkitekturens IT-system och applikationer.

Vilka omfattas av NIS2?

NIS2 skiljer på så kallade väsentliga entiteter (väsentliga verksamhetsutövare) och viktiga entiteter (viktiga verksamhetsutövare). Kravbilden är högre för väsentliga entiteter. För att en verksamhetsutövare ska omfattas av NIS2-direktivet, krävs som utgångspunkt att den verkar inom någon av de utpekade sektorerna enligt bilaga I eller II i NIS2-direktivet och att det inte rör sig om ett mikroföretag eller småföretag enligt EU:s definition (det vill säga med färre än 50 anställda eller högst 10 miljoner euro i omsättning eller balansomslutning per år. Notera också att det räcker att ett av dessa tröskelvärden överskrids för att direktivet ska börja gälla.).

Sektorerna har också utökats från sju till arton och kraven gäller för hela verksamheten (och inte enbart för samhällsviktiga och digitala tjänster). De sektorer som kommer att omfattas utgörs av: 

• Energi
• Transporter
• Bankverksamhet*
• Finansmarknadsinfrastruktur
• Hälso- och sjukvårdssektorn
• Dricksvatten
• Avloppsvatten
• Digital infrastruktur
• Förvaltning av IKT-tjänster (mellan företag)
• Offentlig förvaltning
• Rymden
• Post- och budtjänster
• Avfallshantering
• Tillverkning, produktion och distribution av kemikalier
• Produktion, bearbetning och distribution av livsmedel
• Tillverkning
• Digitala leverantörer
• Forskning
  
  

Vissa typer av verksamheter omfattas oavsett storlek, exempelvis domännamnsleverantörer (DNS), leverantörer av allmänt tillgängliga kommunikationstjänster eller betrodda tjänster samt offentlig förvaltning (så som det fastställs av respektive medlemsstat).

(*En notering rörande Bankverksamhet, är att det för finansiella entiteter är DORA-förordningen som gäller så som ’lex specialis’ och har därmed företräde. Aktörer inom denna sektor bör redan ha genomfört ett eget utredningsarbete för att förstå de olika regleringarnas omfattning och samspel.)

Som vi konstaterat, föreslås direktivet införas genom den kommande Cybersäkerhetslagen i Sverige. Enligt utredningen SOU 2024:18, föreslås att samtliga kommuner och regioner ska omfattas, dock inte fullmäktigeförsamlingarna, vilket innebär att nästan hela den offentliga sektorn kommer att beröras. Undantagna är däremot verksamheter som rör rättsväsende, försvar, nationell säkerhet eller parlamentariska funktioner, i enlighet med vad som medges av NIS2-direktivet.

Vad ska ni göra om ni omfattas?

Enligt NIS2 är det den berörda organisationen som bär det yttersta ansvaret och detta ansvar kan med fördel betraktas som redan gällande. Enligt MSB, har verksamhetsutövare huvudsakligen följande uppgifter:

1. Identifiera om ni omfattas och anmäla er.
2. Inför och kontinuerligt upprätthåll ett systematiskt arbete med informationssäkerhet, som på ett effektivt sätt inför lämpliga säkerhetsåtgärder och utbildar såväl ledning som personal.
3. Att ni säkerställer förmågor för att också kunna rapportera in incidenter som medför eller kan medföra betydande störningar.
   

Säkra din organisation med NIS 2 – hjälp ledningen ta ansvar nu!

Utforska vår lösning för att möta de nya kraven och skydda er verksamhet. Boka demo eller läs mer om produkten Implementering av NIS 2 - en praktisk guide

Vill du ha en helhetslösning för GDPR så kolla gärna även på denna lösning Privacy-as-a-Service