Hur vet man om man omfattas av NIS2?
Digitaliseringen fortsätter förändra hur vi lever och arbetar, men den öppnar också dörrar för nya cyberhot varje dag. När allt från kraftnät till sjukhus blir allt mer uppkopplade, blir behovet av stark cybersäkerhet allt mer akut.
Det är här EU nya direktiv, NIS2, kommer in i bilden. Detta direktiv är utformat för att höja skyddet av Europas vitala digitala infrastruktur.
Men vad innebär det för din verksamhet? Är du en del av de sektorer som direktivet riktar sig till? I den här artikeln går vi igenom vad NIS2 innebär och vilka som påverkas av det nya direktivet.
Vad är NIS2?
NIS2 är en vidareutveckling av EU tidigare direktiv för nätverks- och informationssystem. Det nya direktivet, NIS2, eller "Network and Information Systems Directive 2", syftar till att förstärka cybersäkerheten inom EU.
NIS2 fokuserar på att skydda samhällsviktiga tjänster som under de senaste åren blivit allt mer beroende av digital teknik, och därmed också mer utsatta för cyberhot. De sektorer som särskilt berörs inkluderar energi, finansiella tjänster, hälso- och sjukvård samt transport.
De nya reglerna inom NIS2 ska börja gälla från och med den 18 oktober 2024, vilket också markerar slutet för det tidigare direktivet. Det kommer innebära en stor förändring och det är viktigt för berörda organisationer att anpassa sig till de nya kraven så snart som möjligt.
Vilka omfattas av NIS2?
För att förstå om din verksamhet faller under NIS2-direktivet är det viktigt att först kolla om du verkar inom någon av de 18 sektorer som EU klassar som kritiska.
Dessa sektorer är noga utvalda baserat på deras betydelse för samhället och innefattar bland annat:
- Energi: Företag som arbetar med produktion, distribution eller överföring av energi.
- Transport: Företag som hanterar transporttjänster såsom järnvägar, flygtrafik och sjöfart.
- Bankväsende och finansmarknad: Banker och andra finansiella institutioner som hanterar betalningar och kapitalförvaltning.
- Hälso- och sjukvård: Sjukhus, kliniker och andra vårdgivare som erbjuder medicinsk vård.
Dessutom är det viktigt att se om din verksamhet kan anses vara en leverantör av väsentliga tjänster. Det innebär att dina tjänster, om de skulle utebli eller störas, skulle kunna ha allvarliga konsekvenser på samhället.
Om ditt företag levererar IT-lösningar som används inom sjukhusens interna system, faller du i regel under NIS2. Då blir det viktigt att du säkerställer höga säkerhetsstandarder och kontinuerligt uppdaterar dina system för att motverka cyberrisker.
Ett annat exempel är om ditt företag exempelvis skulle leverera styrningssystem som används för att övervaka och kontrollera distributionen av elektricitet. Detta är också ett exempel på så kallad kritisk infrastruktur enligt NIS2. Du måste då följa de strikta kraven på cybersäkerhet för att förebygga störningar i elnätet som kan påverka stora delar av samhället.
Om du däremot fortfarande är osäker på om du omfattas av NIS2 så anordnar Myndigheten för samhällsskydd och beredskap (MSB) informationsmöten som kan ge dig klarhet i direktivets tillämpning och hur det påverkar just din verksamhet.
Du behöver däremot kolla upp detta mycket snart eftersom de nya reglerna kommer börja gälla från och med den 18 oktober 2024 när det tidigare NIS-direktivet upphör att gälla.