Skip to main content

    År 2025 träder en av de mest omfattande förändringarna inom EU cybersäkerhetsregelverk i kraft – NIS2-direktivet. Detta direktiv kommer att ha en betydande påverkan på en mängd olika verksamheter inom hela EU och ställer nya krav på organisationers förmåga att hantera och skydda sina nätverks- och informationssystem.

    För att säkerställa att din verksamhet är förberedd på de kommande förändringarna är det avgörande att förstå vad  NIS2 innebär.

    Vad är NIS2-direktivet?

    NIS2-direktivet, eller Cybersäkerhetslagen som det kommer att kallas I Sverige, är en vidareutveckling av det tidigare NIS-direktivet (Network and Information Systems).
    Syftet med NIS2 är att kraftigt stärka cybersäkerheten genom att införa striktare säkerhetskrav, en skärpt rapporteringsskyldighet, och en mer rigorös tillsyn och efterlevnad.

    Direktivet omfattar både offentliga och privata organisationer och är utformat för att skydda kritisk infrastruktur samt säkerställa att hela EU digitala landskap är robust mot cyberhot.

    "Vi på Netsecurity har lång erfarenhet av att hjälpa våra kunder att integrera Cyberssäkerhet med befintliga processer och rutiner. Målsättningen är att det ska bli enkelt att arbeta på ett säkert sätt."

    -Erik Colliander, Senior Cybersecurity Advisor,  Netsecurity Nordic AB

     

    Erik Colliander

     

    Vilka omfattas av NIS2 ?

    NIS2 omfattar verksamheter som bedöms som viktiga för ett fungerande samhälle indelade i 18 olika sektorer. Dessa delas sedan i sin tur in i två kategorier beroende på hur kritiska dom är.
    Varje företag och organisation har ansvar för att ta reda på om de omfattas av NIS2-reglerna. Tänk på att man kan påverkas indirekt, till exempel som leverantör till ett företag som omfattas av NIS2. Det är också viktigt att komma ihåg att om man har underleverantörer som är avgörande för den egna verksamheten, måste även de uppfylla NIS2-kraven

     
    1. Högkritiska sektorer:  2. Andra kritiska sektorer:  
    • Energi
    • Transporter
    • Bankverksamhet
    • Finansmarknads-infrastruktur
    • Hälso- och sjukvårdssektorn
    • Dricksvatten
    • Avloppsvatten
    • Digital infrastruktur
    • Förvaltning av IKT-tjänster (mellan företag)
    • Offentlig förvaltning
    • Rymden
    • Post- och budtjänster
    • Avfallshantering
    • Tillverkning, produktion och distribution av kemikalier
    • Produktion, bearbetning och distribution av livsmedel
    • Tillverkning
    • Digitala leverantörer
    • Forskning
    Detaljerad beskrivning på  EUs webbplats Detaljerad beskrivning på EUs webbplats

     

    De som omfattas av NIS2 kallas verksamhetsutövare

    Det finns två kategorier av verksamhetsutövare – väsentliga och viktiga. Kraven som ställs på verksamheten är i stort sett desamma, men reglerna för tillsyn och sanktioner skiljer sig åt. Vilka verksamhetsutövare som räknas som väsentliga anges i NIS2-utredningens (SOU 2024:18) lagförslag 2 kap. 1§. Övriga verksamhetsutövare räknas som viktiga. 

    Verksamhetsutövarna ska själva ta reda på om de omfattas och i så fall anmäla sig till respektive tillsynsmyndighet. Exakta former för anmälan kommer att meddelas i föreskrifter.

    Hur påverkas verksamheten av NIS2?

    För att uppfylla kraven i NIS2 behöver verksamheter säkerställa att man arbetar på ett säkert sätt och har kapacitet att arbeta med kontinuerlig förbättring.
    De viktigaste områdena där det ställs tydliga krav på hur de ska hanteras är:

    1. Riskhantering och säkerhetsåtgärder
    • Genomför riskbedömningar och vidta lämpliga säkerhetsåtgärder.
    • Säkra upp system och nätverk.
    • Fokusera på säkerhet i hela leverantörskedjan.
    1. Incidenthantering och rapportering
    • Upprätta system för att upptäcka, hantera och rapportera incidenter i tid.
    • Skapa en plan för incidenthantering och öva regelbundet.
    1. Kontinuitet och krishantering
    • Utveckla och testa kontinuitets- och krishanteringsplaner.
    1. Styrning och efterlevnad
    • Inför tydliga cybersäkerhetsroller och ansvar.
    • Uppfyll interna och externa revisionskrav.
    1. Utbildning och medvetenhet
    • Genomför regelbundna cybersäkerhetsutbildningar för personalen.
    • Höj kompetensen för säkerhetsansvariga.
    1. Sanktioner och ansvar
    • Säkerställ att ledningen förstår sitt ansvar.

    Rapportering av säkerhetsincidenter är obligatorisk

    NIS2 kräver att man underrättar myndigheterna om betydande incidenter inom 24 timmar. En fördjupad uppdatering och bedömning av incidenten ska göras inom 72 timmar.
    För att kunna hantera dessa tidsramar krävs det att man har förberett sig och har fungerande processer och rutiner på plats i händelse av en incident.


    Varför är NIS2 viktigt för din organisation?

    Vi påminner om att syftet med NIS2 är: att kraftigt stärka cybersäkerheten genom att införa striktare säkerhetskrav, en skärpt rapporteringsskyldighet, och en mer rigorös tillsyn och efterlevnad.

    Detta är självklart något bra för alla och bör ses som nödvändigt oavsett krav från EU. Tänk även på att man som underleverantör kan vara tvungen att uppfylla NIS2 för att få behålla en kund som omfattas av direktivet.

    Det är också så att i och med direktivets implementering kan organisationer åläggas sanktionsavgifter på upp till 10 000 000 Euro eller 2% av den globala årsomsättningen om reglerna inte följs.


    Viktiga datum

    NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018.

    Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning, som specificerar NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav för vissa verksamhetsutövare.

    NIS2-direktivet kommer att genomföras i Sverige genom en lag som börjar gälla under 2025.

    Vad förväntas du göra som verksamhetsutövare i steg 1?

    Den som är verksamhetsutövare enligt NIS2 är skyldig att:

    1. Identifiera om verksamheten omfattas av direktivet.

    2. Anmäla  till den relevanta tillsynsmyndigheten att man omfattas

    Exakta kriterier för vad som gäller i Sverige kommer när lag och föreskrifter är klara (2025) , men det går att få en god bild genom att läsa artikel 3 samt bilaga 1 och 2 i direktivet.

     

    Vi hjälper er att förstå och förbereda er för NIS2-direktivet

    Vi erbjuder rådgivning och praktiska lösningar som hjälper er att uppfylla regulatoriska krav som NIS2. Med vår expertis genomför vi skräddarsydda projekt som inte bara ökar er efterlevnad utan också förbättrar den övergripande säkerhetsnivån inom er organisation.

    I vår tjänst NIS2 Healthcheck analyserar vi vilka regelverk som gäller för er, hur de påverkar er verksamhet och tar fram en handlingsplan för att optimera ert säkerhetsarbete.


    NIS2 Healthcheck

    Syftet med denna workshop är att ge dig svar på om din verksamhet omfattas av NIS2 och vad man i så fall behöver göra för att uppfylla de krav som ställs. Resultatet blir en rapport som skall kunna tjäna som beslutsunderlag för det fortsatta arbete.

    Total tid är normalt två dagar där en dag en dag ägnas åt intervjuer och workshop på plats hos er eller via Teams. Allt arbete från vår sida sköts av en senior säkerhetsrådgivare.

    Kontakta oss här för mer detaljer och en prisuppgift.

    NIS2 Healtcheck

    Stockholm

    Kammakargatan 22

    111 40 Stockholm

     

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand