Boka demo

NIS2 – vad är det och hur påverkar det er verksamhet

Vad är NIS2 och varför införs det?

NIS2 är EU:s uppdaterade direktiv om nätverks- och informationssäkerhet, som syftar till att höja den gemensamma cybersäkerhetsnivån i hela unionen. Det ersätter det första NIS-direktivet från 2018 och kommer med skärpta krav. EU införde NIS2 eftersom den ursprungliga lagen inte längre ansågs tillräcklig för att hantera dagens cyberhot och samhällsberoende av digitala system. Med andra ord såg man behovet av en kraftfullare och mer enhetlig reglering för att skydda kritisk infrastruktur och tjänster mot alltmer sofistikerade attacker.

Påverkan i Sverige

För Sveriges del innebär NIS2 en stor förändring. Antalet sektorer som omfattas ökar från sju till hela arton, och inkluderar för första gången offentlig förvaltning (myndigheter på nationell och regional nivå). Samtidigt utökas också privata sektorer som täcks in: utöver energi, transporter, bank och sjukvård omfattar NIS2 nu bland annat livsmedelsförsörjning, tillverkningsindustri, kemikalier, digitala tjänsteleverantörer, post- och logistiktjänster, avfallshantering och forskning.

I praktiken berörs ett stort antal företag inom dessa branscher, förutsatt att de är medelstora eller större (≥50 anställda eller €10 miljoner i omsättning) – och i vissa fall även mindre aktörer om de bedriver samhällskritisk verksamhet. Sammantaget beräknas antalet berörda svenska verksamheter öka dramatiskt – från ca 900 idag till uppskattningsvis 6 000-8 000 när NIS2 träder i kraft.

För att genomföra direktivet förbereds en ny svensk cybersäkerhetslag, där NIS2 och det relaterade CER-direktivet (kritisk infrastruktur) vävs in tillsammans. En statlig utredning (SOU 2024:18) har lagt fram förslag på hur lagen ska se ut, och regeringen planerar att lägga fram en proposition under 2025. Enligt nuvarande tidplan väntas lagen träda i kraft kring årsskiftet 2025/2026, med en övergångsperiod för att organisationer ska hinna registrera sig och uppfylla kraven.

Tillsyn och sanktioner

Alla verksamheter som omfattas måste anmäla sig till sin tillsynsmyndighet när lagen börjar gälla. Varje sektor kommer att ha en eller flera utsedda tillsynsmyndigheter som övervakar efterlevnaden och utfärdar föreskrifter. MSB får en samordnande roll nationellt och blir även nationell kontaktpunkt mot EU. Privata företag riskerar kännbara böter vid brister – upp till 10 miljoner euro eller 2% av global omsättning för “väsentliga” aktörer och 7 miljoner euro eller 1,4% för “viktiga” aktörer. Offentliga aktörer omfattas av krav och tillsyn, men drabbas inte av sanktionsavgifter.

Krav på IT-säkerhet, incidentrapportering, leverantörskedjor och dokumentation

NIS2 ställer upp skärpta krav inom flera områden:

  • Stärkt IT-säkerhet och riskhantering: Regelbundna riskanalyser, åtgärdsplaner, multifaktorsautentisering, kryptering och ledningens aktiva ansvar.
  • Obligatorisk incidentrapportering: Tidig varning inom 24 timmar, rapport inom 72 timmar och slutrapport inom en månad.
  • Säker leverantörskedja: Krav på säkerhet även hos underleverantörer. I Sverige begränsas detta ansvar till första ledets leverantörer.
  • Dokumentation och kontinuitet: Policydokument, rutiner och kontinuitetsplaner måste vara uppdaterade och spårbara. Ledningssystem för informationssäkerhet (t.ex. ISO 27001) rekommenderas som metod.

Så hjälper VisionFlow verksamheter att uppfylla NIS2

Att uppfylla NIS2 kan kännas utmanande, men moderna verktyg gör uppgiften lättare. VisionFlow kan stödja ert NIS2-arbete på flera sätt:

  • Incidenthantering och spårbarhet: Full loggning, kategorisering och uppföljning av incidenter. Enkla rapporter även för myndighetsrapportering.
  • Dokumentation och kunskapsdelning: Samla policys, rutiner och guider i en central kunskapsdatabas, med kontrollerad åtkomst.
  • Tillgångar, leverantörer och kontinuitet: Hantera IT-tillgångar i en CMDB, koppla ärenden till leverantörsavtal och säkerställ SLA-uppföljning.
  • Svensk leverantör: VisionFlow driftas i Sverige, under svensk och europeisk lagstiftning – tryggt för verksamheter med höga krav på regelefterlevnad.

 

Professionell och systematisk hantering av IT-säkerhet är nyckeln till att klara NIS2. Med VisionFlow får ni både översikt och kontroll. Det ska inte vara svårt att följa de säkerhetsregler som gäller!

Källor

MSB – Det här är NIS2-direktivet

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/det-har-ar-nis2-direktivet/

Regeringen/SOU 2024:18 – Nya regler om cybersäkerhet

https://www.regeringen.se/contentassets/1e56bf5cad214fc78eb80d91c11cccb6/nya-regler-om-cybersakerhet-sou-202418.pdf

MSB – Tidsplan för NIS2-införandet i Sverige

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/tidsplan-for-nis2-inforandet-i-sverige/

Digital Strategy EU – NIS2 Directive: securing network and information systems

https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Directive (EU) 2022/2555 – NIS2-direktivet

https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27/eng

DELA POST