Vad är NIS2 ?
NIS2, även känt som Direktivet för Nätverks- och Informationssäkerhet, är ett stort steg framåt för cybersäkerheten i EU. Från och med den 17 oktober 2024 omfattar det 15 sektorer och över 160 000 företag, både offentliga och privata. Målet är att höja nivån av cybersäkerhet genom tydliga strategier för riskhantering och strängare efterlevnadskrav.
För företag innebär NIS2 att anpassa verktyg, processer och kunskap för att möta de högre standarderna. Böter för bristande efterlevnad blir betydligt högre. Direktivet svarar på ökade hot och betonar vikten av att skydda kritiska tjänster som finans, transport och hälsovård.
NIS2 förenklar också genomförandet av cybersäkerhetslagar över medlemsstaterna, vilket skapar en säkrare digital miljö. För att lyckas krävs en proaktiv strategi för att hantera risker och säkerställa efterlevnad.
Varför har NIS2 införts ?
NIS2-direktivet bygger på sin föregångare, Direktiv (EU) 2016/1148, som ville förbättra cybersäkerheten i EU. Men en översyn av det äldre direktivet visade att det hade sina brister när det gällde att hantera dagens och framtidens cybersäkerhetsutmaningar. Därför infördes NIS2-direktivet för att stärka cybersäkerheten, samordna regler och främja samarbete mellan medlemsstaterna och andra relevanta myndigheter.
Vilka organisationer påverkas av NIS2 ?
Väsentliga entiteter: Dessa är entiteter som är av avgörande betydelse för samhället eller ekonomin och som tillhandahåller tjänster eller bedriver verksamhet inom följande sektorer:
-
- Energi
- Transport
- Bank och finans
- Hälso- och sjukvård
- Dricksvatten och avloppsvatten
- Digital infrastruktur
- Offentlig förvaltning
- Förvaltning av IKT-tjänster
- Rymden
Viktiga entiteter: Dessa är entiteter som tillhandahåller tjänster eller bedriver verksamhet inom följande sektorer som är av stor betydelse för samhället eller ekonomin, men som inte är väsentliga entiteter:
- Livsmedel
- Kemikalier
- Avfallshantering
- Tillverkning
- Digitala leverantörer
- Forskning
- Utbildning
- Post- och budtjänster
Vilka riskhanteringåtgärder måste uppfyllas ?
För att säkerställa säkerheten i sina nätverks- och informationssystem måste företag vidta lämpliga åtgärder. Detta innebär att ta tekniska, driftsrelaterade och organisatoriska steg för att hantera risker och minimera effekterna av eventuella incidenter på deras tjänster och andra användare. Riskhanteringen ska minst inbegripa följande punkter:
Strategier för riskanalys och informationssystemens säkerhet:
Planera och genomföra åtgärder för att hantera risker.
Incidenthantering:
Förmågan att snabbt och effektivt kunna detektera och hantera säkerhetsincidenter.
Driftskontinuitet:
Säkerställa att affärsverksamheten kan fortsätta efter en säkerhetsincident genom bland annat säkerhetskopiering och krishantering.
Säkerhet i leveranskedjan:
Att säkerhetsaspekter tas hänsyn till vid hantering av leverantörsrelationer.
Förvärv, utveckling och underhål:
Implementera säkerhetsåtgärder genom hela systemets livscykel, inklusive effektiv hantering av sårbarheter.
Bedömning av effektivitet
Strategier för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet.
Cyberhygien och utbildning i cybersäkerhet:
Att främja goda säkerhetspraxis och öka medvetenheten om cybersäkerhet.
Kryptografi och kryptering:
Strategier för användning av kryptografiska metoder för att skydda känslig information och säkra kommunikationen.
Personalsäkerhet och åtkomstkontroll:
Strategi för att hantera personalens säkerhet och kontrollera åtkomst till information.
Autentiserings- och kommunikationslösningar:
Användning av tekniska lösningar för att säkra autentisering och kommunikation inom organisationen.
Rapporteringsskyldigheter
Väsentliga och viktiga enheter måste snabbt rapportera incidenter till sin CSIRT-enhet eller relevant myndighet. Detta gäller för alla incidenter som anses vara betydande.
Betydande incidenter:
- Den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten.
- Den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Information och tidsram:
- Berörda enheter måste inom 24 timmar rapportera en tidig varning om en betydande incident, inklusive misstankar om olagliga eller skadliga handlingar samt möjliga gränsöverskridande effekter.
- En incidentanmälan inom 72 timmar efter upptäckt, som inkluderar uppdaterad information från tidigare varning och en inledande bedömning av incidentens allvar och konsekvenser, samt eventuella attackerindikatorer.
Konsekvenser för bristande efterlevnad
Väsentliga entiteter:
Vid överträdelser kan böterna vara upp till 10 miljoner EUR eller 2 % av företagets totala årsomsättning, beroende på vilket som är högst.
Viktiga entiteter:
Vid överträdelser kan böterna vara upp till 7 miljoner EUR eller 1,4 % av företagets totala årsomsättning, beroende på vilket som är högst.
Hur Coligo kan hjälpa till
På Coligo har vi en djupgående expertis inom de områden som berörs av NIS2-direktivet. Vår tjänst, Managed XDR + Advisory, arbetar aktivt med många av de krav som direktivet ställer, allt i syfte att förbättra våra kunders säkerhet. Vi har lagt särskild vikt vid incidenthantering och proaktiva åtgärder för att identifiera potentiella hot och sårbarheter.
Genom att samarbeta med oss på Coligo kan organisationer få stöd och vägledning i deras strävan att förstå och navigera i de komplexa kraven i NIS2-direktivet. Detta kan bidra till att förbättra den övergripande cybersäkerheten och minska risken för potentiella sanktioner och böter.
Just nu erbjuder vi på Coligo även en kostnadsfri säkerhetsrådgivning som är speciellt framtagen för organisationer som vill förbättra sin hantering av hot och sårbarheter. Klicka på knappen nedan för att boka din kostnadsfria rådgivningssession idag!
