NIS2-direktivet: vad innebär det för din verksamhet?

NIS2-direktivet: vad innebär det för din verksamhet?

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Cyberhoten mot samhället ökar dramatiskt. Bara under förra året drabbades flera svenska sjukhus och energibolag av allvarliga cyberattacker.

I takt med att digitaliseringen accelererar blir allt fler samhällsviktiga funktioner uppkopplade och sårbara. Från elnätets styrsystem till sjukhusens journaler. Vårt samhälle är idag mer beroende av fungerande IT-system än någonsin tidigare. Men med de digitala möjligheterna följer också nya risker.

För att möta dessa utmaningar har EU tagit fram ett nytt direktiv, NIS 2. Det är den mest omfattande cybersäkerhetsreformen hittills och kommer att påverka tusentals verksamheter i Sverige. Men omfattas din organisation? Och vad behöver ni göra för att vara redo när de nya kraven träder i kraft?

Vad är NIS2?

I Sverige kommer NIS2 att införas genom den nya cybersäkerhetslagen (CSL), en lagstiftning som vidareutvecklar EU:s tidigare direktiv för nätverks- och informationssystem.

Syftet med NIS2 är att stärka cybersäkerheten inom EU genom att:

  • Harmonisera cybersäkerhetskrav över medlemsländerna
  • Införa striktare tillsynsåtgärder
  • Ställa högre krav på incidentrapportering
  • Skapa mer effektiva samarbetsmekanismer mellan medlemsländerna

NIS2-direktivet omfattar flera samhällskritiska sektorer, med särskilt fokus på energiförsörjning, finansiella tjänster, hälso- och sjukvård samt transport. Inom dessa områden berörs allt från elproduktion och banker till sjukhus och kollektivtrafik, verksamheter som är grundläggande för ett fungerande samhälle.

Medan flera EU-länder redan implementerat NIS 2 under hösten 2024, har Sverige valt att ta mer tid för att säkerställa en genomtänkt anpassning till svenska förhållanden. Den svenska implementeringen kommer därför att träda i kraft först under sommaren 2025 som en del av CSL.

Vilka omfattas av NIS2?

För att förstå om din verksamhet faller under NIS2-direktivet är det viktigt att först identifiera om du verkar inom någon av de sektorer som EU klassar som kritiska.

Dessa sektorer är noga utvalda baserat på deras betydelse för samhället och omfattar bland annat:

  • Hälso- och sjukvård: Sjukhus, kliniker, vårdcentraler, laboratorier och andra vårdgivare som erbjuder medicinsk vård. Även e-hälsotjänster och medicinteknik omfattas.
  • Transport: Företag som hanterar transporttjänster såsom järnvägar, flygtrafik, sjöfart, vägtransport och kollektivtrafik.
  • Bank- och finansmarknadsinfrastruktur: Banker, kreditinstitut, försäkringsbolag, värdepappersföretag och andra finansiella institutioner som hanterar betalningar och kapitalförvaltning.
  • Energi: Företag som arbetar med produktion, distribution eller överföring av el, gas, olja och vätgas. Detta omfattar även kärnkraft och förnybar energi.
  • Dricks- och avloppsvatten: Verksamheter som ansvarar för vattenförsörjning, rening och distribution av dricksvatten samt hantering av avloppsvatten.
  • Digital infrastruktur: Internetleverantörer, datacenter, molntjänstleverantörer och andra aktörer som tillhandahåller digital infrastruktur.
  • Förvaltning av IKT-tjänster (B2B): Företag som levererar IT-tjänster och säkerhetslösningar till andra företag, inklusive managed service providers.
  • Offentlig förvaltning: Statliga myndigheter, regioner och kommuner som tillhandahåller samhällsviktiga tjänster.
  • Rymdindustri: Företag inom rymdteknik, satellitoperatörer och relaterade tjänster.

Om din verksamhet kan anses vara en leverantör av väsentliga tjänster inom någon av dessa sektorer - det vill säga att ett avbrott i din verksamhet skulle kunna få allvarliga konsekvenser för samhället - omfattas även du med stor sannolikhet av NIS2.

Detta gäller särskilt om man exempelvis levererar kritiska IT-system till sjukvården eller styrsystem för energidistribution.

Säkerhetskrav i NIS 2

Vilka säkerhetskrav ställer NIS2?

NIS2 ställer nya och tydligare krav på hur organisationer ska skydda sig mot cyberattacker och andra digitala hot. Målet är att säkra viktiga samhällsfunktioner genom bättre IT-säkerhet.

Tekniska säkerhetsåtgärder

Direktivet kräver att organisationer implementerar moderna säkerhetslösningar för att skydda nätverk och informationssystem.

Detta inkluderar stark åtkomstkontroll, kryptering av känslig information, säker fjärråtkomst samt system för att upptäcka och förhindra cyberattacker. Ett särskilt fokus läggs på segmentering av nätverk och regelbunden säkerhetskopiering av kritiska data.

Organisatoriska krav

Ett centralt krav i NIS 2 är att cybersäkerhet inte längre kan ses som enbart en IT-fråga. Organisationens ledning måste ta ett aktivt ansvar och säkerställa att tillräckliga resurser avsätts.

Detta innebär regelbunden utbildning av personal, tydliga processer för incidenthantering och en dokumenterad säkerhetspolicy som kontinuerligt uppdateras.

Incidentrapportering

En betydande förändring i NIS 2 är de skärpta kraven på incidentrapportering. Organisationer måste:

  • Rapportera allvarliga incidenter inom 24 timmar.
  • Lämna en första statusuppdatering inom 72 timmar.
  • Tillhandahålla en detaljerad rapport inom en månad.
  • Ha rutiner för att identifiera och klassificera säkerhetsincidenter.

Riskhantering

Direktivet kräver ett systematiskt arbete med riskhantering där organisationer regelbundet ska:

  • Genomföra riskanalyser av kritiska system.
  • Utveckla och uppdatera kontinuitetsplaner.
  • Testa beredskapen genom övningar.
  • Säkerställa säker leverantörshantering.

Leverantörskedjan

NIS 2 ställer också krav på hur organisationer hanterar sina leverantörer.

Detta innebär att:

  • Säkerhetskrav måste ställas på leverantörer.
  • Leverantörers säkerhetsarbete ska följas upp.
  • Kritiska leverantörer ska identifieras och riskbedömas.
  • Säkerhetsincidenter hos leverantörer ska kunna hanteras.

Att följa de nya kraven stärker både din organisation och samhällets cybersäkerhet. Men tänk på att börja anpassningen i tid, då många av förändringarna tar tid att genomföra.

För att underlätta arbetet med leverantörshantering erbjuder vi på ChainSec en modul som förenklar både kravställning och uppföljning av leverantörers säkerhetsarbete.

Du kan även läsa vår artikel 10 säkerhetsåtgärder för efterlevnad av NIS2-direktivet.