Search

NIS2

För att uppnå en hög och EU-gemensam nivå av cybersäkerhetsförmågor enades Europaparlamentet och dess medlemsländer den 13 maj 2022 preliminärt om ett nytt NIS-direktiv, NIS2. Den 28 november godkändes direktivet och medlemsstaterna har 21 månader på sig att införliva bestämmelserna i nationell lagstiftning efter direktivets offentliggörande.
 

På svenska heter direktivet ”åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”. Kortfattat ställer NIS-direktivet krav på säkerhet i nätverk och informationssystem.

NIS2: vad är syftet?

Inom Europeiska unionen ses en generell ökning av aktiva cyberhot. NIS2 syftar till att harmonisera implementationen av skyddsförmågor för nätverks- och informationssystem för leverantörer av samhällsviktiga tjänster och digitala tjänster. Utöver detta fastställs även miniminivåer för effektivt samarbete mellan berörda myndigheter medlemsländerna.

NIS2: vad är nytt?

NIS2 omfattar fler verksamheter än dess föregångare och använder begreppen samhällsviktiga tjänster samt digitala tjänster. Tjänster som är viktiga för att upprätthålla kritisk ekonomisk verksamhet eller är kritiska ut samhällssynpunkt faller under samhällsviktiga tjänster. Under digitala tjänster omfattas sökmotorer, marknadsplatser och molntjänster. Direktivet hanterar tillsynsåtgärder från nationella myndigheter, harmonisering av sanktionssystem och stimulerar informationsutbyte kring och deltagande i hantering av cyberkriser.

NIS2-direktivet: vad är status?

Den 10 november 2022 antogs texten av parlamentsledamöterna med 577 röster för, 6 röster emot och 31 nedlagda röster. Parlamentets omröstning är avslutad och godkänd. Därför måste rådet formellt anta lagen innan den offentliggörs i EU:s officiella kommunikation.

Medlemsstaterna kommer att ha 21 månader på sig att införliva NIS2 i nationell lagstiftning. Det är sannolikt att den kommer att antas och formellt införlivas i alla EU-medlemsländers nationella lagstiftning tidigast i slutet av 2024.

Organisationer bör se över NIS2:s omfattning och om deras verksamhet berörs av den. När en organisation kommer fram till att den sannolikt kommer att omfattas av den nya lagstiftningen bör organisationen överväga vilka organisatoriska, ekonomiska och tekniska åtgärder som krävs för att förbereda sig för att följa NIS2.

NIS2-direktivet: vilka sektorer omfattas?

Följande sektorer kommer att omfattas:

  • Energi (el, olja, gas, fjärrvärme, vatten)
  • Transport (flyg, järnväg, vatten och väg)
  • Bankverksamhet, infrastrukturer för finansmarknader, hälso- och sjukvård (inklusive laboratorier och forskning om läkemedel och medicintekniska produkter),
  • Dricksvatten, avloppsvatten (men endast om det är den huvudsakliga verksamheten),
  • Digital infrastruktur (telekommunikation, DNS, TLD, datacenter, förtroendetjänster, molntjänster).
  • Digitala tjänster (sökmotorer, online-marknader, sociala nätverk),
  • Post- och kurirtjänster,
  • Avfallshantering,
  • Kemikalier (produktion och distribution),
  • Livsmedel (produktion, bearbetning och distribution)
  • Tillverkning (särskilt, men inte begränsat till, medicinsk utrustning, datorutrustning och transportutrustning).

Här kan ni läsa mer om overksamheter som omfattas

Hur kan Orange Cyberdefense vägleda kring NIS2-direktivet?

Orange Cyberdefense kan stötta i arbetet med att identifiera nuläge, potentiella gap och framtagande av åtgärdsförslag för aktuella organisationer.

Generellt rekommenderas att se över nedan fem punkter om de behöver förbättringsåtgärder:

  • Ledningssystem för informationssäkerhet
  • Hantering av plan och aktiviteter för cybersäkerhet
  • Säkerhetsmedvetenhet hos personer
  • Effektiv hantering av cyberincidenter
  • Analys och plan för att anpassa organisationens övergripande tekniska säkerhet.

Genom att arbeta med dessa områden kan cybersäkerhet förbättras inom områden som styrs av NIS2-direktivet.

Ytterligare användbar information från relevanta källor:

Think Tank European Parliament  - A high common level of cybersecurity – NIS2

News Euopean Parliament Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience

 

Svensk lagstiftning:

Vissa anpassningar kan göras till NIS2 och en uppdatering i svensk lagstiftning kommer.

Myndigheten för samhällsskydd och beredskap, MSB har det svenska ansvaret och rollen som nationell kontaktpunkt. Myndigheten är en sambandsfunktion som säkerställer gränsöverskridande samarbete mellan berörda myndigheter i EU-länderna

MSBs ansvar och roll

Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare i MSB:s föreskrifter för anmälan och identifiering av leverantörer av samhällsviktiga tjänster

Det som gäller just nu lag (2018:1174) kan man läsa om på regeringens webbsida

"Ransomware och andra cyberhot har förfölj Europa alldeles för länge. Vi måste agera för att göra våra företag, regeringar och samhällen mer motståndskraftiga mot fientliga cyberoperationer. Detta EU-direktiv kommer att hjälpa omkring 160 000 enheter att skärpa sitt grepp om säkerheten och göra Europa till en säker plats att leva och arbeta på. Det kommer också att möjliggöra informationsutbyte med den privata sektorn och partner runt om i världen. Om vi attackeras i industriell skala måste vi reagera i industriell skala", -Bart Groothuis, EU-parlamentariker fån Nederländerna

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.