Den 18 oktober 2024 träder NIS2-direktivet i kraft i Sverige. Detta uppdaterade europeiska direktiv syftar till att förstärka informationssäkerheten för IT-system som hanterar samhällskritiska funktioner. NIS2 innebär skärpta krav och en betydligt bredare omfattning än sin föregångare, vilket gör det avgörande för företag och organisationer att förstå och följa de nya reglerna.

Vad innebär NIS2-direktivet?

NIS2-direktivet medför flera viktiga förändringar jämfört med den tidigare versionen från 2018:

1. Utökad Räckvidd: Direktivet omfattar nu fler sektorer och även medelstora företag i vissa branscher, vilket innebär att många fler verksamheter måste anpassa sig till de nya säkerhetskraven.
2. Större Fokus på Ledningsansvar: NIS2 ökar ansvaret för företagsledningen, som nu kan hållas personligt ansvarig för att säkerställa att verksamheten följer direktivets säkerhetskrav. Detta innebär att ledningen måste vara aktivt engagerad i företagets cybersäkerhet.
3. Strängare Krav på Säkerhet och Leveranskedjan: Direktivet inför högre krav på leverantörernas säkerhet och ställer strikta regler för riskbedömningar, förbättrade säkerhetsåtgärder och incidentrapportering.
4. Informationsdelning och Samarbete: Ett annat centralt fokus i NIS2 är att främja ökat samarbete och informationsutbyte mellan medlemsstater och företag för att gemensamt stärka cybersäkerheten inom EU.
5. Utbildning och Medvetenhet: Företag som omfattas av NIS2 måste också satsa på utbildning av sin personal och öka medvetenheten om cybersäkerhet för att minimera risken för mänskliga fel som kan leda till säkerhetsincidenter.

Sanktioner vid överträdelser

För verksamheter som klassificeras som “Väsentliga” kan böter vid överträdelser uppgå till högst 10 miljoner euro eller 2 % av den totala globala årsomsättningen. För “Viktiga” verksamheter är motsvarande böter upp till 7 miljoner euro eller 1,4 % av den totala globala årsomsättningen.

Nationell samordning och kontaktpunkt

Enligt direktivet ska varje medlemsland upprätta planer och utse ansvariga organ för att hantera cybersäkerhetsincidenter. I Sverige har Myndigheten för samhällsskydd och beredskap (MSB) fått rollen som CSIRT (Computer Security Incident Response Team). Dessutom kommer EU cybersäkerhetsmyndighet Enisa att spela en större roll genom att övervaka och analysera medlemsländernas riktlinjer för cyberhygien.

Soros Consulting AB – Din partner för NIS2

Det kan vara svårt för verksamheter att förstå och implementera alla krav som NIS2-direktivet medför. Här kan Soros Consulting AB erbjuda stöd och expertis för att säkerställa att din organisation uppfyller de nya kraven. Kontakta oss för mer information om hur vi kan hjälpa dig att stärka säkerheten i din verksamhet.

För ytterligare information, kontakta:

Vanja Soro
070-4366660
vanja.soro@sorosconsulting.se

Soros Consulting AB

Källor:

• https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
• MSB om NIS2
• https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new