<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2233467260228916&amp;ev=PageView&amp;noscript=1">

NIS2: Vilken del av verksamheten berörs?

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.
04/26/2024 |

NIS2 och Lagen om Cybersäkerhet utökar vilken del av verksamheten som berörs av kraven. Vi reder ut begreppen och jämför med NIS. 

Utredningen till Lagen om Cybersäkerhet i Sverige, som är Sveriges NIS2 lag, är tydlig med att det är hela verksamheten som skall följa de krav som finns i NIS2 vad gäller informations- och cybersäkerhet. Följande är utdrag från utredningen om skillnaden mellan dagens lagstiftning och det framtagna förslaget: 

“Den andra viktiga skillnaden är att kraven kommer att gälla för hela verksamheten inte bara för samhällsviktiga och digitala tjänster.” 

NIS2 regleringen från EU pekar även den på att kraven kommer omfatta mer av verksamheten, den svenska översättningen stipulerar följande i Artikel 21 punkt 1:

“risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster” 

Ser man till den äldre NIS regleringen (2016/1148) i Artikel 14 punkt 2.

“tjänster vidtar lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverks- och informationssystem som används för att tillhandahålla sådana samhällsviktiga tjänster,” 

Även om NIS2 regleringen inte lika tydligt uttalar att det är hela verksamheten som berörs och inte bara den del som avser leverans av de viktiga och kritiska tjänster som lagen avser skydda.  

Den del av verksamheten som undantas kraven om NIS2 är sådan del av verksamheten som är säkerhetskänslig och faller under säkerhetsskyddslagen.  

Hur detta sedan realiseras i myndigheters tillsyn blir intressant att följa, med begränsade resurser att genomföra tillsyn är det möjligen så att fokus vid tillsyn ändå kommer vara de viktiga och kritiska tjänsterna. Detta kan säkerligen också skifta beroende på vilken myndighet som gör tillsynen.  

Detta betyder att om ni idag lever upp till NIS kraven och har valt att göra detta för specifika delar av verksamheten så behöver ni ta ett helhetsgrepp för att inkludera övriga delar av verksamheten.  

Cegal och NIS2 

Cegals konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS.   
 
Cegals hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.  

Ta gärna del av vårt on-demand webinar här >

Vill du prata med oss om NIS2? Vi är redo att hjälpa dig!

Relaterade artiklar

Konsulttjänster
NIS2 - Så arbetar du med riskhantering
Daniel Andersson Senior Information Security Consultant,...
arrow
Konsulttjänster
NIS2 - Vad betyder regeringens utredning för din verksamhet?
Daniel Andersson Senior Information Security Consultant,...
arrow
Konsulttjänster
NIS2 och OT-system
Daniel Andersson Senior Information Security Consultant,...
arrow