NIS2 är det nya direktivet för nätverks- och informationssäkerhet, som EU:s medlemsländer ska ha implementerat senast i oktober 2024. Det gäller både privata och offentliga leverantörer inom vissa sektorer. Företag som inte följer NIS2 kan riskera ekonomiska sanktioner.
Det moderniserade NIS2-direktivet uppdaterar och stärker de tidigare cybersäkerhetsreglerna som implementerades 2016. Syftet är att skydda våra kritiska samhällsfunktioner och säkerställa ett tryggt och säkert digitalt landskap, genom att förbättra motståndskraften och förmågan till effektiv incidenthantering.
➡ Missa inte det kostnadsfria webbinariet om NIS2
Samhällsviktiga tjänster
De nya reglerna i NIS2 kommer omfatta företag och organisationer inom nya sektorer. Bland annat berörs de företag som tillhandahåller finansiella tjänster som banker, värdepappersföretag, leverantörer av tjänster för elektroniska pengar och kryptotillgångar samt tredjepartsleverantörer av kritiska IKT-tjänster. Reglerna berör även leverantörer av samhällsviktiga tjänster som energi, transport, vatten och hälso- och sjukvård. NIS2 ska även omfatta för sektorer som livsmedelsproduktion, avfallshantering och övriga delar av försörjningskedjan samt leverantörer av digitala tjänster, som exempelvis sökmotorer och molntjänster.
Incidenthantering
Det är avgörande att dessa organisationer har en hög cybersäkerhetsnivå samt rapporterar allvarliga incidenter till berörda nationella myndigheter. De organisationer som berörs av direktivet måste vidta lämpliga åtgärder inom områden som till exempel hantering av cyberrisker och incidenthantering och direktivet ställer höga krav på säkerhet i nätverk och informationssystem.
Direktivet ska även förbättra samarbetet mellan EU-länderna, till exempel vid storskaliga incidenter. Detta ska ske under ledning av EU:s byrå för cybersäkerhet (ENISA).