Vad är NIS2 – och hur påverkar det din verksamhet?
Det kommande NIS2-direktivet innebär skärpta krav på cybersäkerhet i hela EU, och berör långt fler verksamheter än det första NIS-direktivet. Vad innebär NIS2 för din organisation, hur förbereder du dig i tid – och hur kan NIS2 hjälpa dig äska större it-budget från ledningen?
NIS – vad är det?
NIS står för security of network and information systems. Det första NIS-direktivet antogs av Europaparlamentet och -rådet 2016 och blev en del av svensk lagstiftning 2018. Det kommande NIS2-direktivet kan beskrivas som en utvidgning av NIS. Syftet med de här direktiven är att skapa gemensamma juridiska ramverk för cybersäkerhet inom EU:s medlemsländer, för att på sikt öka cyberresiliensen inom unionen.
– Införandet av NIS2 kommer att bli en game-changer för cybersäkerhet i EU. Att vara proaktiv nu kan spara både tid och resurser i framtiden, samtidigt som det ökar företagets trovärdighet, säger Johan Caripson, Commercial Business Manager på GlobalConnect.
Vad är det nya med NIS2-direktivet?
Tre viktiga skillnader i och med det nya NIS2-direktivet är:
1. Fler sektorer omfattas
Det första NIS-direktivet omfattade ”leverantörer av samhällsviktiga tjänster” inom privat och offentlig sektor. Detta gällde främst bankverksamhet, energi, sjukvård, transporter, digital infrastruktur och dricksvattenförsörjning. NIS2 omfattar flera nya sektorer, som bland annat offentlig förvaltning, hantering av avloppsvatten och förvaltning av IKT-tjänster.
2. Tydligare krav på åtgärder
Med NIS2 införs ett minimikrav för åtgärder, till exempel när det gäller hanteringen av risker i leverantörskedjan. Varje medlemsland ska säkerställa att de aktörer som berörs vidtar tekniska, operationella och organisatoriska åtgärder för att öka cybersäkerheten. Det innebär bland annat att kunskap om cyberhygien behöver förankras i de olika verksamheterna genom rutiner, zero trust-principer, utbildning av medarbetare och översyn av system.
3. Krav på mer detaljerad rapportering
De berörda aktörerna kommer behöva rapportera om till exempel allvarliga säkerhetsincidenter på en mer detaljerad nivå än tidigare.
När börjar NIS2 att gälla?
NIS2 börjar gälla i hela EU den 18 oktober 2024. Exakt hur förändringen påverkar lagstiftning och verksamheter i Sverige är ännu inte helt klart. Regeringen har utsett en utredare med uppdrag att ta fram detaljerade förslag. Resultatet av utredningen förväntas presenteras senast den 23 februari 2024.
Vad händer om min organisation inte följer NIS2?
Om din verksamhet omfattas av NIS2, men inte lever upp till kraven i direktivet, kan det leda till böter på upp till 10 miljoner euro eller två procent av företagets globala omsättning.
Hur gör jag min verksamhet redo för NIS2?
Vilka åtgärder som krävs för att göra just din verksamhet NIS2-compliant beror på er nuvarande situation. Men här är tre goda råd på vägen:
1. Utgå från att din organisation omfattas av NIS2
Är du osäker på om din verksamhet kommer att omfattas av NIS2 eller inte? Vänta inte på ett slutgiltigt besked, utan utgå från att ni berörs – antingen direkt eller indirekt som del av en längre leverantörskedja. Att öka cybersäkerheten är alltid en god investering, oavsett lagkrav. Dessutom stärker det din position på marknaden där du verkar. Aktörer som du levererar till kan nämligen mycket väl komma att ställa krav på NIS2-efterlevnad på sina underleverantörer för att teckna avtal.
2. Börja utvärdera dina behov och planera åtgärder i god tid
Om du inte redan har satt igång är det hög tid att börja. Tänk på att varje steg i processen – från att utvärdera ditt nuläge till att uppgradera tekniska lösningar, sätta upp rutiner och utbilda din personal – tenderar att ta betydligt längre tid än du tror. Dessutom är det relativt kort tid från att den svenska regeringens utredning presenteras i februari till att NIS2 börjar gälla i hela EU i oktober. Att invänta utredarens resultat innan du agerar är därför en högst riskabel strategi.
3. Avsätt tillräckliga resurser (eller jobba smartare med befintlig it-budget)
Det är omöjligt att sätta en exakt prislapp på vad det kommer att kosta just din organisation att bli NIS2-compliant. Men risken är stor att ni kommer behöva öka it-budgeten – eller åtminstone använda befintliga pengar på ett mer effektivt sätt. Ett sätt att effektivisera resurserna är att samla dina nätverkstjänster hos en leverantör.
Så kan NIS2 bli en hävstång för att öka din it-budget
Du som jobbar med it-frågor känner säkert igen synsättet att it ska funka, men helst inte kosta. Enligt en Sifo-undersökning bland it-chefer anser nästan fyra av tio redan idag att deras budget inte är rimlig för uppdraget. Och trots att it-attackerna blir fler verkar svenska företag tveka att höja sin it-säkerhetsbudget.
Det ekonomiska utgångsläget för en massiv uppgradering kan alltså se mörkt ut. Men NIS2-direktivet kan förse dig med starka argument till varför it borde få mer resurser. Att investera i en solid säkerhetsstruktur i tid är nämligen betydligt billigare än att försöka lappa och laga under tidspress när lagstiftningen träder i kraft. För att inte tala om de böter organisationen kan få om kraven inte följs.
Om dessa argument inte räcker kan du peka på risken att gå miste om affärer i takt med att era befintliga och potentiella kunder börjar kräva NIS2-efterlevnad. I förlängningen kommer införandet av NIS2 också att sätta en ny, högre standard för it-säkerhet generellt. Och då vill varken du eller ledningen att er verksamhet sticker ut som ett mindre säkert alternativ.
Vidare läsning
NIS2 compliance: expertens tips för att möta kraven
Cybersäkerhet från grunden med helhetslösning för it
Inspelat webinarium för dig som vill veta mer om NIS2
Streama vårt inspelade webinarium, där experter inom cybersäkerhet förklarar hur en modern SOC-tjänst fungerar – och hur du gör din verksamhet redo för NIS2.