NIS2

NIS2 är ett EU direktiv som syftar till att stärka cybersäkerheten inom samhällsviktiga och affärskritiska verksamheter i hela Europa. Direktivet är en vidareutveckling av det tidigare NIS direktivet och har tagits fram för att möta dagens ökade hotbild, där cyberattacker blivit både vanligare och mer avancerade. Målet med NIS2 är att skapa en högre och mer enhetlig nivå av cybersäkerhet inom EU, samtidigt som kraven på organisationer tydliggörs.

Till skillnad från sin föregångare omfattar NIS2 betydligt fler verksamheter och sektorer. Förutom traditionellt samhällsviktiga områden som energi, transporter, sjukvård och digital infrastruktur inkluderas nu även många privata företag inom till exempel tillverkning, livsmedelsproduktion, avfallshantering, posttjänster och IT tjänster. Det innebär att betydligt fler organisationer behöver förhålla sig till nya krav på säkerhet, riskhantering och rapportering.

En central del i NIS2 är kraven på riskbaserat cybersäkerhetsarbete. Organisationer förväntas identifiera sina risker och införa tekniska och organisatoriska åtgärder för att skydda sina system och data. Det kan handla om allt från incidenthantering och kontinuitetsplanering till åtkomstkontroller, utbildning av personal och säker leverantörshantering.

Ledningens ansvar har också stärkts i NIS2. Företagsledningar och styrelser förväntas vara aktivt involverade i cybersäkerhetsarbetet och se till att rätt resurser avsätts. De behöver även ha tillräcklig kunskap för att kunna fatta informerade beslut kring säkerhetsfrågor. Detta markerar en tydlig förflyttning från att se cybersäkerhet som enbart en teknisk fråga till att betrakta den som en strategisk ledningsfråga.

En annan viktig del av direktivet är kraven på incidentrapportering. Organisationer måste snabbt rapportera allvarliga cybersäkerhetsincidenter till ansvariga myndigheter. Detta ska bidra till ökad transparens, bättre samordning och snabbare respons vid större hot eller attacker som kan påverka samhället i stort.

NIS2 ställer även krav på tillsyn och sanktioner. Myndigheter får utökade befogenheter att granska organisationers säkerhetsarbete, och vid bristande efterlevnad kan betydande böter utdömas. På så sätt skapas ett tydligare incitament att faktiskt prioritera cybersäkerhet på ett strukturerat och långsiktigt sätt.