Säkerställ er NIS2-efterlevnad

Skrivet av Emilia Sandell
Ett antal flaggstänger med EUs flagga hissad framför en kontorsfasad.
 

Vad är NIS, NIS2 och CER? 

NIS-direktivet, officiellt känt som direktiv (EU) 2016/1148, var en EU-omfattande lagstiftning som syftade till att förbättra cybersäkerheten i nätverks- och informationssystem. Det skulle gälla för offentliga och privata enheter inom vissa sektorer, däribland energi, transport, bankverksamhet, hälso- och sjukvård och digitala tjänster, med fokus på kritisk infrastruktur och viktiga tjänster. 

Syftet med direktivet var att förbättra den övergripande motståndskraften hos kritisk infrastruktur och kritiska tjänster mot cyberhot och främja samarbete mellan EU:s medlemsländer och berörda parter. För att göra detta var de berörda enheterna tvungna att: 

  • Implementera säkerhetsåtgärder för att hantera risker i sina nätverks- och informationssystem. 

  • Rapportera allvarliga incidenter till de nationella myndigheterna. 

  • Samarbeta och dela information om cybersäkerhetsincidenter. 

Bristande efterlevnad skulle leda till administrativa sanktionsavgifter. 

 

NIS2-direktivet, officiellt känt som direktiv (EU) 2022/2555, antogs av Europeiska kommissionen i december 2022 i syfte att fastställa en hög gemensam cybersäkerhetsnivå bland medlemsländerna som ett erkännande av de växande cybersäkerhetshot som både den offentliga och den privata sektorn står inför. 

Det nya direktivet omfattar även privata och offentliga enheter som faller under vissa kategorier och kvalificerar sig som medelstora företag. Vad definitionen av ett medelstort företag är kan skilja sig från en medlemsstat till en annan. Till exempel, Sveriges definition är: 

  • Den huvudsakliga etableringen ska beläget i Sverige. 

  • De har en årlig omsättning som överstiger 10 miljoner euro. 

  • De har 50 eller fler anställda. 

 

Slutligen antogs CER-direktivet (direktivet om kritiska entiteters motståndskraft), officiellt kallat direktiv (EU) 2022/2557, samtidigt som NIS2-direktivet. I syfte att stärka motståndskraften hos kritiska entiteter inom EU och förbättra deras förmåga att stå emot och återhämta sig från incidenter som skulle kunna störa samhällsviktiga tjänster. 

Förutom att varje medlemsland beslutar om sina egna strategier, riskbedömningsramar och genomförandestöd, som kommer att ges till kritiska entiteter. Kommer kritiska entiteter att behöva vidta åtgärder för att förbättra sin egen motståndskraft. Det kan handla om åtgärder som: 

  • Implementera kraftfulla cybersäkerhetsåtgärder. 

  • Utveckla kontinuitetsplaner för verksamheten. 

  • Investera i backupsystem. 

Dessa kritiska enheter spelar en viktig roll när det gäller att stödja samhällsfunktioner, ekonomin, folkhälsan och säkerheten samt miljöskyddet. De elva sektorer och delsektorer som omfattas av CER-direktivet är följande: 

  1. Energisektorn, med tjänster som elproduktion och energilagring. 

  2. Transportsektorn, med tjänster som förvaltning och underhåll av flygplats- eller järnvägsinfrastruktur. 

  3. Banksektorn, med viktiga tjänster som att ta emot inlåning och utlåning. 

  4. Sektorn för finansmarknadsinfrastruktur, med tjänster såsom drift av handelsplatser och clearingsystem.  

  5. Hälso- och sjukvårdssektorn, med distribution, tillverkning, tillhandahållande av hälso- och sjukvård och medicinska tjänster. 

  6. Dricksvattensektorn, med dricksvattenförsörjning och distribution av dricksvatten.  

  7. Avloppsvattensektorn, med tjänster för uppsamling, rening och bortskaffande av avloppsvatten. 

  8. Sektorn för digital infrastruktur, med tjänster som tillhandahållande och drift av internetknutpunkter, domännamnssystem, toppdomäner, molntjänster och datacenter.  

  9. Tjänster inom den offentliga förvaltningen

  10. rymdsektorn, med drift av markbaserade infrastrukturtjänster. 

  11. Produktion, bearbetning och distribution av livsmedelssektorn, med storskalig industriell livsmedelsproduktion och bearbetning, livsmedelsförsörjningskedjetjänster och livsmedelsgrossistdistributionstjänster. 

CER-direktivet, tillsammans med NIS- och NIS2-direktivet, syftar till att stärka EU:s motståndskraft mot olika hot, däribland cyberattacker, brottslighet, folkhälsorisker och naturkatastrofer. 

 
Ett öppet hänglås som ligger ovanpå tangenter från ett tangetbord.
 

Vad ska berörda företag göra? 

För att följa NIS2-direktivet, som träder i kraft hösten 2024, måste företag ta flera viktiga steg för att förbättra sin cybersäkerhet. Nedan har vi listat några viktiga krav och åtgärder: 

  • Bestäm tillämplighet: För det första, omfattas ditt företag av NIS2-direktivet? Varje medlemsland kommer att bestämma sina specifika riktlinjer som du måste följa.  

  • Riskhantering: Implementera åtgärder för att minimera cyberrisken, vilket inkluderar: 

    • Rutiner för incidenthantering. 

    • Starkare säkerhet i leveranskedjan. 

    • Förbättrad nätverkssäkerhet. 

    • Åtkomstkontroll och kryptering. 

  • Ansvar: Ledningen måste: 

    • Övervaka och godkänna cybersäkerhetsåtgärder. 

    • Utbildas i att hantera cyberrisker. 

    • Förstå att överträdelser kan leda till böter, inklusive ansvar och tillfälliga förvaltningsförbud. 

  • Rapporteringsskyldigheter: Om en incident skulle inträffa måste företaget ha processer på plats för snabb rapportering till rätt myndigheter och följa specifika tidsfrister för anmälan (t.ex. 24 timmar). 

  • Kontinuitetsplanering: Företag måste utveckla planer för att säkerställa kontinuitet i verksamheten under större cyberincidenter. Överväg: 

    • Systemåterställning. 

    • Förfaranden i nödsituationer. 

    • Krishanteringsgrupper. 

  • Förbered dig för efterlevnad: Du bör fastställa påverkan på olika enheter inom organisationen och utvärdera befintliga säkerhetsåtgärder och policyer. På så sätt blir det lättare att planera och budgetera för den kommande NIS2-efterlevnaden. 

 

Även om ditt företag inte bedöms vara en kritisk enhet bör företag åtminstone implementera grundläggande säkerhetsåtgärder, så som: 

  1. Riskbedömningar och säkerhetspolicyer. 

  2. Utvärdering av säkerhetseffektivitet. 

  3. Riktlinjer och procedurer för användning av kryptografi och kryptering. 

  4. En standardprocedur för hantering av säkerhetsincidenter. 

  5. Policyer för hantering och rapportering av sårbarheter vid utveckling och förvaltning av system. 

  6. Cybersäkerhetsutbildningar och grundläggande datorhygien. 

  7. Säkerhetsrutiner för anställda med dataåtkomst. 

  8. Säkerhetsbedömning av leverantörer och rutiner på plats i händelse av en incident. 

  9. En plan för att hantera affärsverksamheten under och efter en incident. 

  10. Multifaktorautentisering och kryptering. 

Även om medlemsstaternas strategier, ramverk och stödplaner kanske inte är helt på plats ännu, måste företagen aktivt förbereda sig för dess krav. Ingen åtgärd kommer att vara förgäves. 

 
En rödhårig kvinna står framför en whiteboard med en penna i handen medan hon tittar och ler mot en annan kvinna. Den andra kvinnan har brunt hår och står med ryggen vänd mot kameran.
 

Borgent och NIS2 

Borgent har stor erfarenhet av att säkra och strukturera affärsdata och säkerställa efterlevnad genom alla dina affärsprocesser. Med vår expertis och våra lösningar kan du centralisera all din data samtidigt som du bibehåller efterlevnaden i de verktyg du redan använder, såsom Microsoft Teams, Word, PowerPoint etcetera. 

Kontakta oss om du vill veta mer om hur du uppnår och upprätthåller ISO-standarder och GxP-efterlevnad i Microsoft 365. 

Du kan också läsa vår blogg för att få veta mer. 

Emilia Sandell
Föregående

Oanade Fördelar med NIS2
Nästa

Framtidens mjukvarulösningar för GxP-efterlevnad