Så säkerställer du efterlevnad av NIS2-direktivet – en guide för samhällskritiska verksamheter

NIS2-direktivet (Network and Information Security) är snart här, och med det ställs högre krav på cybersäkerheten för verksamheter i samhällsviktiga sektorer. Detta är ett bra tillfälle för företag, organisationer och myndigheter att se över och uppdatera arbetet kring cybersäkerhet, vilket är nödvändigt i dessa tider.  Med potentiellt kraftiga sanktionsavgifter är det bra att agera nu. Läs vidare för att förstå vad NIS2 innebär, vilka som berörs och vilka åtgärder du bör vidta för att skydda både verksamheten och dess anseende.

 

Dator_RCO_NIS2.jpg

 

NIS2 – vad är det och varför är det relevant?
NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerheten inom samhällsviktiga och kritiska sektorer. Det ersätter det tidigare NIS-direktivet och inför bredare tillämpning, skärpta krav och hårdare sanktioner. Målet är att öka motståndskraften mot cyberhot och säkerställa kontinuitet i viktiga tjänster. I Sverige förväntas lagstiftningen träda i kraft sommaren 2025. Om din verksamhet omfattas av direktivet måste verksamheten redan nu börja anpassa sina säkerhetsrutiner för att möta de nya kraven.

 

NIS2 är ingen certifiering av produkter utan en lagstiftning som kräver att hela organisationen arbetar systematiskt och riskbaserat med säkerhet. Det handlar om att skapa en säkerhetskultur som genomsyrar hela verksamheten, från ledning till medarbetare.

 

Läs mer om NIS2-direktivet här

 

Vilka berörs och vad står på spel?
Verksamheter inom samhällskritiska funktioner är direkt påverkade. Dessutom kan företag som levererar tjänster till dessa sektorer påverkas indirekt.

 

Om du inte följer NIS2-kraven riskerar du sanktionsavgifter på upp till 10 miljoner euro eller 2 % av din globala årsomsättning. Ledande befattningshavare kan dessutom hållas personligt ansvariga och förbjudas att inneha ledande roller. Anseendet står också på spel då brott mot reglerna kan behöva offentliggöras. Men se också detta som ett tillfälle att framtidssäkra din verksamhet och minska risken för cyberangrepp.

 

Agera nu för att undvika framtida risker
Att vänta med att anpassa sig till NIS2 är inte ett alternativ. Börja med en nulägesanalys och implementera säkerhetsåtgärder som skyddar din verksamhet på lång sikt.

 

RCO:s checklista: så förbereder du dig för NIS2

  1. Förstå tillämpningsområdet
    1. Identifiera om verksamheten omfattas av NIS2: Kolla om organisationen tillhör en av de sektorer som täcks direkt av direktivet, eller om verksamheten påverkas indirekt genom affärsrelationer med andra organisationer (t.ex. i egenskap av leverantör) som omfattas.
    2. Riskklassificering: Utvärdera organisationens risknivå och vilken kategori den tillhör (väsentliga eller viktiga enheter).
       
  2. Genomför en nulägesanalys
    1. Säkerhetsnivå: Gör en analys av nuvarande cybersäkerhetsnivå, inklusive tekniska och organisatoriska kontroller.
    2. GAP-analys: Identifiera skillnader mellan nuläge och NIS2-kraven.
    3. Systemkartläggning: Skapa en inventering av alla kritiska system, nätverk och tjänster.
       
  3. Stärk den tekniska säkerheten
    1. Incidenthantering: Implementera robusta system för att upptäcka, rapportera och hantera säkerhetsincidenter.
    2. Sårbarhetshantering: Utför regelbundna sårbarhetsskanningar och patchhantering.
    3. Åtkomstkontroller: Se till att strikta åtkomstkontroller är på plats och att principen om minimal behörighet efterlevs.
    4. Backup och återställning: Etablera regelbundna och säkra backuprutiner med testade återställningsplaner.
       
  4. Utveckla organisatoriska processer
    1. Ledningens engagemang: Säkerställ att ledningen är involverad och stödjer arbetet med NIS2.
    2. Informationssäkerhetspolicy: Uppdatera eller utveckla policys för att efterleva NIS2-kraven.
    3. Utbildning och medvetenhet: Träna anställda på cybersäkerhet och deras roll i att upprätthålla säkerheten.
    4. Leverantörshantering: Utvärdera och säkra leveranskedjor för såväl nuvarande som nya tredjeparter.
       
  5. Säkerställ rapportering och efterlevnad
    1. Incidentrapportering: Sätt upp rutiner för att rapportera incidenter inom de tidsramar som NIS2 kräver.
    2. Dokumentation: Dokumentera säkerhetsrutiner, riskhantering och åtgärder för att kunna visa efterlevnad.
       
  6. Etablera kontinuitet
    1. Riskhantering: Implementera ett riskhanteringssystem som kontinuerligt bedömer hotbilden.
    2. Kontinuitetsplanering: Utveckla en kontinuitets- och återhämtningsplan för verksamheten vid störningar.
    3. Test och simulering: Öva på scenarier och simulera cyberattacker för att utvärdera er beredskap.