NIS2 – Reglering för en säkrare framtid
NIS2 är det så kallade EU-omfattande cybersäkerhetsdirektivet som trädde i kraft i oktober 2024. Jämfört med NIS1 innebär NIS2 betydande förändringar, som också kommer att medföra strängare cybersäkerhetsskyldigheter för fler organisationer. Medlemsstaterna kommer att behöva anta nya bestämmelser som innehåller dessa strängare kontroll- och verkställighetsåtgärder för att säkerställa efterlevnaden av direktivet. NIS2 ersätter NIS1-direktivet, vilket resulterar i flera betydande skillnader jämfört med NIS1: NIS2 utvidgar tillämpningsområdet till större enheter, såsom tillverkare av kemiska och medicintekniska produkter, livsmedelstillverkare och leverantörer av sociala nätverk, som tidigare inte omfattades av NIS1. NIS2 ersätter distinktionen mellan ”operatör av samhällsviktiga tjänster” och ”leverantör av digitala tjänster” med ”samhällsviktiga enheter” och ”kritiska enheter” baserat på bland annat storlek och sektor. Båda har liknande skyldigheter, men de centrala enheterna är föremål för strängare verkställighets- och kontrollåtgärder. Sektortillsynsmyndigheten måste vara ansvarig för kontrollåtgärderna.
NIS2 innebär nya cybersäkerhetsskyldigheter för ”samhällsviktiga” och ”kritiska” enheter, inklusive riskhantering och hantering av leveranskedjan, rapportering av cyberincidenter och informationsutbyte. För att uppfylla dessa krav kommer de som omfattas att behöva utveckla och genomföra nya policyer och förfaranden. NIS2 kräver att EU:s medlemsstater förbättrar sina nationella cybersäkerhetsstrategier och svarar på de digitala hot som de står inför. Det är viktigt för organisationer att hålla sig uppdaterade om medlemsstaternas framtida initiativ på detta område.
Förbättrade säkerhetskrav
NIS2 kommer att förbättra företagens säkerhetskrav genom att införa en riskhanteringsmetod och en minimilista över grundläggande säkerhetselement. Direktivet innehåller också mycket mer detaljerade bestämmelser om incidentrapportering, t.ex. vad gäller innehåll och tidpunkt för rapportering. Enligt direktivet måste anmälan göras inom 24 timmar efter det att incidenten inträffat och måste omfatta en mer detaljerad rapporteringsprocess. NIS2 kräver också att man tar itu med säkerheten i leveranskedjan. Detta inkluderar även de risker som sammätning medför. NIS2 betonar också ledningens ansvar för organisationens cybersäkerhet och lägger ett individuellt ansvar på styrande organ som bolagsstyrelser och ledning för att säkerställa ett effektivt genomförande av cybersäkerhetskraven. Organisationer kan bli föremål för olika verkställighetsförelägganden och underlåtenhet att följa dessa kan leda till betydande böter.
