Förklaringen och hantering av
EU:s NIS2-direktiv
NIS2-direktivet är en uppdatering av EU:s nuvarande lagstiftning för nätverks- och informationssäkerhet, som syftar till att förbättra cybersäkerheten inom viktiga samhällsfunktioner och digitala tjänster. För att vara redo för detta direktiv är det viktigt att förstå vad det innebär och vilka åtgärder som behöver vidtas för att uppfylla kraven
Vad är NIS2, Europas nya direktiv
Som svar på hoten i Cyberrymden har EU tagit fram direktivet NIS2.
NIS står för "Network and Information Security Directive" och syftar till att
höja den gemensamma cybersäkerhetsnivån inomEuropeiska unionen.
Bakgrunden till direktivet är att EU kommissionen har identifierat ett antal brister inom unionens gemensamma säkerhet:
• Otillräcklig motståndskraft mot cyberhot i verksamheter verksamma inom EU
• Stora skillnader mellan medlemsstater och sektorer
• Otillräcklig gemensam förståelse för de största hoten och utmaningarna bland medlemsstaterna
• Brist på gemensam krishantering
Syftet är att skapa motståndskraft i det digitaliserade samhällets funktioner genom skärpta och harmoniserade säkerhetskrav
på de verksamheter som omfattas.
Direktivet ska vara implementerat i svensk lagstiftning senast den 18 oktober 2024, inför detta måste berörda verksamheter ha anpassat sina verksamheter.
I likhet med GDPR finns det möjlighet att ålägga verksamheter böter för bristande efterlevnad.
En verksamhet kan potentiellt få böter på upp till 10 miljoner euro eller 2 % av verksamhetens årliga globala omsättning.
Större vikt läggs vid ledningens insikt i det förebyggande arbetet och hanteringen av cyberincidenter, både nationellt och inom en verksamhet.
Detta innebär att medlemmar av en verksamhetsledning kan hållas direkt och personligen ansvariga för säkerhetsöverträdelser enligt NIS2-direktivet.
NIS2 kräver att ledningen övervakar, godkänner och utbildas i hanteringen av informationssäkerhetsrisker samt de säkerhetsåtgärder som vidtas.
Överträdelser kan leda till påföljder för ledningen,
inklusive ansvar och en potentiell tillfällig avstängning från att verka i sin roll.
Vem påverkas av NIS2
NIS2 kommer att påverka en rad olika verksamheter inom EU, såsom energiföretag, transportföretag, digitala tjänsteleverantörer, hälso- och sjukvårdstjänster och finansiella institutioner. Dessa verksamheter måste nu aktivt arbeta med att implementera och följa de nya säkerhetskraven för att undvika böter och andra påföljder.
En del av direktivet är att verksamheterna måste rapportera allvarliga cyberincidenter till de nationella myndigheterna inom en viss tidsram och samarbeta med dem för att hantera incidenten. Detta syftar till att öka transparensen kring cyberhot och underlätta för de berörda myndigheterna att agera effektivt för att skydda samhället.
Sammanfattningsvis är NIS2 ett viktigt steg mot att öka cybersäkerheten inom EU och säkerställa att företag och organisationer tar informationssäkerhet på allvar. Genom att göra ledningen ansvarig för säkerhetsfrågor och kräva en aktiv hantering av risker och incidenter kommer vi förhoppningsvis att se en förbättring av cybersäkerheten och ökad motståndskraft mot cyberhot i framtiden.
Hur kan vi hjälpa er?
Vår lösning
Cyber Security As A Service (CSAAS) är en tjänst som kan hjälpa er att uppfylla kraven i NIS2-direktivet genom att erbjuda kontinuerlig övervakning och hantering av er IT-infrastruktur. Vi kan hjälpa er att identifiera och åtgärda sårbarheter, implementera säkerhetslösningar och upprätthålla en hög nivå av cybersäkerhet.
Se vårt säkerhetspaket CSAAS