MSB: Så förbereder du dig för NIS2
Johanna Nilsson, Informationssäkerhetsspecialist på MSB. Foto: Mostphotos, MSB
Hösten 2024 börjar NIS2-direktivet att gälla. Johanna Nilsson från MSB går igenom vilka sektorer som kommer beröras, vilka skillnaderna är mot det ursprungliga NIS-direktivet, och hur din organisation kan börja förbereda sig redan nu.
Den 18 oktober 2024 träder NIS2-direktivet i kraft i EU och ersätter det ursprungliga NIS-direktivet. Det uppgraderade direktivet har som syfte att förbättra den kollektiva cybersäkerheten inom medlemsländerna.
Vilka omfattas av NIS respektive NIS2
Dessa sektorer omfattades av det ursprungliga NIS-direktivet:
Sjukvård
Digital infrastruktur
Transport
Vattenförsörjning
Digitala tjänsteleverantörer
Bank- och finansieringsrörelser
Energi.
Sektorer som adderats till NIS2 är bland annat:
Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
Avloppsvatten och avfallshantering,
Tillverkning av vissa väsentliga produkter (exempelvis läkemedel, medicintekniska produkter och kemikalier)
Livsmedel
Digitala tjänster (exempelvis sociala nätverksplattformar och datacentertjänster)
Flyg- och rymdteknik
Post- och kurirtjänster
Offentlig förvaltning.
Det nya direktivet utreds fortfarande gällande hur det ska omsättas till svensk lag, så exakt hur de nya kraven kommer att utformas är ännu inte klart. Men vissa, tydliga förändringar står klara redan nu.
Där NIS hade fokus på sju utvalda sektorer kommer NIS2 att beröra fler aktörer, vara bredare i sin natur och fokusera mer på att samhället som helhet ska fungera.
– Det blir även skärpta krav på vad berörda aktörer måste göra och mer utförliga tillskrivningar om sanktionsavgifter. Sanktionsavgifterna blir högre, och både krav och sanktioner delas upp i olika nivåer för olika kategorier av aktörer, säger Johanna Nilsson, Informationssäkerhetsspecialist på MSB.
Samma regler för alla länder
Med nya NIS2-direktivet ska reglerna även bli mer enhetliga mellan medlemsstaterna.
– Det kommer finnas mindre utrymme för tolkning. I första NIS kunde olika länder definiera direktivet på olika sätt, nu blir det mer styrning från EU-håll.
En annan stor skillnad mot NIS1 är omfattningen. Låt säga att du är en organisation som levererar samhällsviktiga tjänster gällande exempelvis dricksvatten eller elförsörjning. Tidigare har endast delen av verksamheten som står för den samhällsviktiga tjänsten berörts, men i NIS2 kommer hela organisationen att omfattas, enligt Johanna Nilsson.
– Du behöver inte bara se till att allt är i sin ordning för den lilla samhällsviktiga delen av din organisation, utan kraven gäller för hela verksamheten.
– Det blir också tydligare krav på att ha koll på dina leverantörer, och deras leverantörer. Hela leveranskedjan måste jobba för att bli NIS2-kompatibla.
Tillsätt en ledare för informationssäkerhetsarbetet
Trots att direktivet fortsatt är under utredning finns det, enligt Johanna Nilsson, vissa delar som din verksamhet redan nu kan göra för att förbereda sig. Första prio är att se till att stärka upp din organisations informationssäkerhet så mycket som möjligt.
– Om du inte har en person som leder och samordnar informationssäkerhetsarbetet borde du skaffa det omgående. Och säkerställ att du har en tillräckligt bra incidenthantering och rapportering. Detta kan ibland glömmas bort men är väldigt viktigt. På Cert.se kan du hitta rätt rapporteringsrutiner.
Om du inte har en person som leder och samordnar informationssäkerhetsarbetet borde du skaffa det omgående.
Därtill behöver ledningen i din organisation komma in i matchen direkt.
– Det blir skarpare krav på ledningens ansvar. Tidigare har de haft ett allmänt ansvar som ledning, men deras ansvar är mer explicit uttryckt nu. I och med NIS2 får de vissa skyldigheter i att se till att verksamheten följer kraven.
– Jag rekommenderar även din organisation att hålla koll på utredningen och läsa igenom direktivet, vissa delar är relativt klara redan idag. Detta gäller speciellt om du är en myndighet, eller om du redan omfattas av NIS1. Om du inte gör det kan du ändå kolla igenom vad de nya kraven är, detta ger en bild av vad som förväntas av din organisation. Att få till en bra informationssäkerhet tar tid, så det är bäst att sätta igång omgående, säger Johanna Nilsson.
Läs mer om ämnet: