NIS2 är ett EU-Direktiv (2022/2555) med syfte att öka säkerheten I nätverk och informationssystem för samhällsviktiga tjänster. NIS2 ersätter det tidigare EU-Direktivet 2016/1148 (NIS) och ska skapa ett mer enhetligt regelverk inom hela EU för informationssäkerhet för samhällsviktiga tjänster.
Huvudsyftet med NIS2 är att säkerställa samhällets förmåga att leverera samhällsviktiga tjänster, oavsett om dessa levereras av privata eller publika entiteter.
Grundpelarna i NIS2 är fortsatt ett systematiskt arbete med informationssäkerhet som är riskbaserat, som normalt uppnås genom etablering av ledningssystem för informationssäkerhet (LIS).
Medlemsstaterna får även ett större ansvar för att stödja de organisationer som omfattas av NIS2, både genom information men även bl.a. bevakning av sårbarheter.
Ett EU-direktiv föreskriver det förväntade resultatet medlemsstaterna skall uppnå, där varje medlemsstat själva beslutar om form och tillvägagångssätt för genomförandet.
Varje medlemsstat ansvarar för uppdatering av sin lokala lagstiftning för att inkludera kraven i NIS2 direktivet, detta medför att viss lokal variation eller utökning av EU-direktivet kan förekomma rörande NIS2. Direktivet är dock skapat för att motverka den stora variation som funnits för NIS lagstiftningarna i de olika medlemsstaterna.
Direktivet stipulerar att varje medlemsstat bör föra ett register över organisationer som omfattas av NIS2, där både administrativ och teknisk information bör samlas, bl.a. kontaktuppgifter och IP-adressintervaller.
För organisationer som omfattas av NIS2 men som inte följer lagstiftningen kan sanktionsavgifter utdömas. För väsentliga entiteter kan avgiften landa på högst 10 MEUR eller 2 % av den globala omsättningen. För viktiga entiteter är sanktionsavgiften högst 7 MEUR eller 1,4 % av den globala omsättningen.
Varje medlemsstat bör även ha en utökad förmåga att hantera incidenter inom nätverk och informationssystem genom etablering av Computer Security Incident Response Teams (CSRIT) som skall samverka med övriga CSIRT inom EU. CSIRT ska i jämförelse med tidigare direktiv arbeta mer proaktivt och stödjande.
NIS2 direktivet ska börja tillämpas 18e oktober 2024, vilket i praktiken innebär att mycket av arbetet med att anpassa arbetet med informations- och cybersäkerhet behöver påbörjas i god tid innan detta datum.
NIS2 är tydligare än NIS kring vilka entiteter som omfattas, antalet sektorer som omfattas har utökats jämfört med NIS. Inom de sektorer som anses samhällskritiska som överstiger nivåerna för medelstora företag enligt artikel 2.1 i 2003/361 vilket översätts till fler än 50 anställda och/eller omsättning över 10 miljoner EUR per år. Vid bedömning av storlek är det som regel hela koncernens storlek som bedöms. Punkt 16 i NIS2 direktivet öppnar för att göra undantag i de fall det kan påvisas att berört bolag är tillräckligt separerat från övriga koncernen vad gäller nätverks- och informationssystem.
För en komplett lista av entiteter som berörs av NIS2 se vår bilaga här.
Cegals konsulter inom informations- och cybersäkerhet har erfarenhet att etablera ledningssystem för informationssäkerhet för regelefterlevnad både för NIS och andra regulatoriska regelverk.
Dessutom kan Cegals Cyber Security-experter guida och navigera dig genom detta komplexa tekniska område. Vi kan hjälpa dig att ligga steget före när det gäller att säkra din IT-infrastruktur med djupgående kunskaper om operativ teknik (OT), molninfrastruktur och plattformar, hybridlösningar och multi cloud-infrastruktur. Våra dedikerade leveransområden erbjuder ett brett utbud av säkerhetslösningar för att skydda och övervaka kritiska funktioner och säkerställa kontinuitet i verksamheten.