År 2025 införs NIS2-direktivet, en omfattande uppdatering av EU:s cybersäkerhetsregler. Målet är att stärka skyddet av kritisk infrastruktur och digitala tjänster genom strängare krav på IT-säkerhet, incidentrapportering och efterlevnad. För många företag innebär detta en förändring i hur de arbetar med cybersäkerhet.
För att undvika oväntade konsekvenser är det viktigt att redan nu förstå vad NIS2 innebär och hur det påverkar din organisation.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är en uppdatering av det tidigare NIS-direktivet. Det syftar till att minska sårbarheten mot cyberhot genom högre säkerhetskrav för både privat och offentlig sektor.
Bland förändringarna i NIS2 ingår:
- Striktare krav på riskhantering och säkerhetsåtgärder
- Obligatorisk incidentrapportering inom 24 timmar
- Ökat ansvar för företagsledningar
- Skärpta sanktioner vid bristande efterlevnad
Myndigheter får också större befogenheter att kontrollera och vidta åtgärder mot företag som inte uppfyller kraven.
Vem omfattas av NIS2?
Direktivet gäller en bredare grupp av verksamheter än tidigare och omfattar väsentliga och viktiga sektorer.
Väsentliga sektorer inkluderar:
- Energi
- Transport
- Bankverksamhet
- Hälso- och sjukvård
- Digital infrastruktur
- Offentlig förvaltning
Viktiga sektorer omfattar bland annat:
- Post- och budtjänster
- Livsmedelsproduktion
- Tillverkning
- Forskningsorganisationer
- IT-tjänster
Det är viktigt att komma ihåg att även underleverantörer och partners kan omfattas av NIS2, vilket innebär att säkerhetskraven kan påverka hela leverantörskedjan.
Vad kräver NIS2 av företag?
Företag som omfattas av NIS2 måste implementera ett antal säkerhetsåtgärder och rutiner för att minimera cyberrisker. Bland annat krävs:
Riskhantering: Identifiering och hantering av potentiella IT-hot genom systematiska analyser, sårbarhetsbedömningar och implementering av förebyggande säkerhetsåtgärder. Företag behöver ha en kontinuerlig process för att identifiera, utvärdera och minimera risker, inklusive hot från både interna och externa aktörer.
Incidenthantering: Företag måste ha väldefinierade rutiner för att snabbt upptäcka, analysera och hantera säkerhetsincidenter. Det innebär att ha realtidsövervakning av system, tydliga processer för eskalering och rapportering samt effektiva åtgärdsplaner för att minimera påverkan vid en incident. Incidentrapporter ska lämnas inom 24 timmar, och en mer detaljerad analys ska vara klar inom 72 timmar. Regelbundna tester och övningar är avgörande för att säkerställa att organisationen kan hantera cyberhot på ett effektivt sätt.
Kontinuitets- och krishantering: Företag måste ha robusta planer och strategier för att upprätthålla verksamhetens drift vid cyberattacker eller andra allvarliga IT-incidenter. Detta inkluderar att utveckla och testa kontinuitetsplaner, säkerställa redundanta system och ha tydliga krisrutiner som gör det möjligt att snabbt återställa driften och minimera affärsstörningar.
Säkerhet i leverantörsledet: Företag måste säkerställa att alla samarbetspartners och underleverantörer uppfyller NIS2-kraven, eftersom brister i leverantörskedjan kan utgöra en säkerhetsrisk. Det innebär att genomföra noggranna säkerhetsbedömningar, införa avtalade säkerhetskrav och regelbundet granska efterlevnaden hos leverantörer. Ett starkt säkerhetssamarbete minskar risken för cyberattacker som kan sprida sig genom ekosystemet.
Ledningens ansvar: Företagsledningen har en central roll i cybersäkerhetsarbetet och måste säkerställa att säkerhetsstrategier är integrerade i den dagliga verksamheten. Det innebär att sätta tydliga riktlinjer, avsätta resurser och säkerställa att medarbetare får relevant utbildning. Ledningen kan hållas ansvarig vid brister och behöver därför vara proaktiv i att identifiera och minimera säkerhetsrisker, samt säkerställa efterlevnad av NIS2-direktivet genom regelbunden uppföljning och rapportering.
Vad händer om ni inte följer NIS2?
Om ett företag inte uppfyller NIS2 kan konsekvenserna bli allvarliga. Företag riskerar:
- Böter på upp till 10 miljoner euro eller 2% av den globala årsomsättningen
- Ökad granskning och tillsyn från myndigheter
- Förlorade affärsmöjligheter om kunder kräver NIS2-kompatibilitet
Hur kan Prog-It hjälpa?
Vi på Prog-It har lång erfarenhet av att hjälpa företag att stärka sin IT-säkerhet och uppfylla regulatoriska krav. Vi kan stötta er med:
- Säkerhetsgranskning – Identifiering av brister och åtgärdsförslag
- Implementering av säkerhetsåtgärder – Teknisk lösning och policyanpassning
- Incidenthantering och beredskap – Rutiner för att snabbt upptäcka och åtgärda hot
- Utbildning och rådgivning – Kompetenshöjning för ledning och medarbetare
NIS2 är en möjlighet att stärka er IT-säkerhet och framtidssäkra verksamheten. Vill ni veta mer om hur ni kan anpassa er? Kontakta oss på Prog-It så hjälper vi er att säkerställa rådande krav!