För att uppnå en hög och EU-gemensam nivå av cybersäkerhetsförmågor enades Europaparlamentet och dess medlemsländer den 13 maj 2022 preliminärt om ett nytt NIS-direktiv, NIS2. Den 28 november godkändes direktivet och medlemsstaterna har 21 månader på sig att införliva bestämmelserna i nationell lagstiftning efter direktivets offentliggörande.
Inom Europeiska unionen ses en generell ökning av aktiva cyberhot. NIS2 syftar till att harmonisera implementationen av skyddsförmågor för nätverks- och informationssystem för leverantörer av samhällsviktiga tjänster och digitala tjänster. Utöver detta fastställs även miniminivåer för effektivt samarbete mellan berörda myndigheter medlemsländerna.
NIS2 omfattar fler verksamheter än dess föregångare och använder begreppen samhällsviktiga tjänster samt digitala tjänster. Tjänster som är viktiga för att upprätthålla kritisk ekonomisk verksamhet eller är kritiska ut samhällssynpunkt faller under samhällsviktiga tjänster. Under digitala tjänster omfattas sökmotorer, marknadsplatser och molntjänster. Direktivet hanterar tillsynsåtgärder från nationella myndigheter, harmonisering av sanktionssystem och stimulerar informationsutbyte kring och deltagande i hantering av cyberkriser.
Den 10 november 2022 antogs texten av parlamentsledamöterna med 577 röster för, 6 röster emot och 31 nedlagda röster. Parlamentets omröstning är avslutad och godkänd. Därför måste rådet formellt anta lagen innan den offentliggörs i EU:s officiella kommunikation.
Medlemsstaterna kommer att ha 21 månader på sig att införliva NIS2 i nationell lagstiftning. Det är sannolikt att den kommer att antas och formellt införlivas i alla EU-medlemsländers nationella lagstiftning tidigast i slutet av 2024.
Organisationer bör se över NIS2:s omfattning och om deras verksamhet berörs av den. När en organisation kommer fram till att den sannolikt kommer att omfattas av den nya lagstiftningen bör organisationen överväga vilka organisatoriska, ekonomiska och tekniska åtgärder som krävs för att förbereda sig för att följa NIS2.
Följande sektorer kommer att omfattas:
Här kan ni läsa mer om overksamheter som omfattas
Orange Cyberdefense kan stötta i arbetet med att identifiera nuläge, potentiella gap och framtagande av åtgärdsförslag för aktuella organisationer.
Generellt rekommenderas att se över nedan fem punkter om de behöver förbättringsåtgärder:
Genom att arbeta med dessa områden kan cybersäkerhet förbättras inom områden som styrs av NIS2-direktivet.
Ytterligare användbar information från relevanta källor:
Think Tank European Parliament - A high common level of cybersecurity – NIS2
News Euopean Parliament Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience
Svensk lagstiftning:
Vissa anpassningar kan göras till NIS2 och en uppdatering i svensk lagstiftning kommer.
Myndigheten för samhällsskydd och beredskap, MSB har det svenska ansvaret och rollen som nationell kontaktpunkt. Myndigheten är en sambandsfunktion som säkerställer gränsöverskridande samarbete mellan berörda myndigheter i EU-länderna
Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster.
Det som gäller just nu lag (2018:1174) kan man läsa om på regeringens webbsida
"Ransomware och andra cyberhot har förfölj Europa alldeles för länge. Vi måste agera för att göra våra företag, regeringar och samhällen mer motståndskraftiga mot fientliga cyberoperationer. Detta EU-direktiv kommer att hjälpa omkring 160 000 enheter att skärpa sitt grepp om säkerheten och göra Europa till en säker plats att leva och arbeta på. Det kommer också att möjliggöra informationsutbyte med den privata sektorn och partner runt om i världen. Om vi attackeras i industriell skala måste vi reagera i industriell skala", -Bart Groothuis, EU-parlamentariker fån Nederländerna