Vad är NIS2 och vad innebär det?

Det finns ett antal skillnader mellan det nuvarande NIS-direktivet och EU-kommissionens förslag för NIS2. Bland annat innebär det nya förslaget en kraftig utökning vad gäller vilka verksamheter som omfattas.

Ett område som saknades i det tidigare direktivet men som är med nu är fjärrvärme. Nytt är även biogasproduktion från kompost eller lantbruksavfall. Även sophantering, livsmedelsproduktion, avloppshantering och läkemedelstillverkning omfattas i det nya NIS2.

Förvånande för vissa är även att tillverkningsindustri inom fordon, kemikalier, datorer, maskiner och verktyg omfattas.

Det finns även krav på att verksamheter som omfattas av NIS2 ska jobba med säkerhet hos sina leverantörer. Det innebär förmodligen att de flesta underleverantörer kommer att få samma krav på sig, förutom tillsynen från en myndighet. Förmodligen innebär det här att många organisationer som inte brytt sig nämnvärt om det tidigare NIS-direktivet kommer att omfattas av NIS2.

Mindre verksamheter kommer förmodligen vara undantagna från NIS2. Dock kan myndigheter peka ut en liten verksamhet om den anses vara samhällsviktig.

Vad är syftet med NIS2?

Syftet är att uppnå en ökad gemensam motståndskraft mot cyberrelaterade hot inom EU. Direktivet ska även vara bättre anpassat efter rådande och framtida säkerhetsbehov.

Innebär NIS2 ökade krav på verksamheterna som omfattas?

I förslaget från EU-kommissionen har ländernas tillsynsmyndigheter fått utökade möjligheter att utdöma sanktioner. Rent pengamässigt är det i samma storleksordning som för GDPR, för NIS2 gäller 10 miljoner euro eller 2 procent av den totala omsättningen.

Dessutom kan tillsynsmyndigheter tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda incidenter på ett effektivt sätt.

Det finns krav på utbildning av ledningen så att de ska förstå risker och utmaningar kopplat till cybersäkerhet.

Därutöver finns det krav på ett gäng andra delar, såsom riskanalyser, säkerhetspolicies, incidenthantering, kontinuitetsplanering, krishantering, leverantörssäkerhet, mätning av säkerhetsarbetets effektivitet och sårbarhetsrapportering även om incidenter ej uppstår.

Vad händer nu?

EU:s medlemsländer har till den 17 oktober 2024 på sig att införa NIS2 i sina respektive nationella lagstiftningar. Regeringens utredare lämnade in sitt delbetänkande Nya regler om cybersäkerhet 5 mars 2024. 

Efter remissrundan då berörda aktörer får möjlighet att lämna synpunkter på utredningens förslag, kommer regeringen att förbereda för en ny lagstiftning. 

Vad är det ursprungliga NIS-direktivet?

2018 trädde NIS-direktivet i kraft. Namnet står för The Directive on security of network and information systems. Det berör alla myndigheter, kommuner, regioner och företag som har hand om samhällskritisk infrastruktur.

Alla aktörer som sysslar med samhällsviktig infrastruktur måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser.