Fyll i nedanstående formulär så återkommer vi till dig.

NIS2 – Utmaning eller möjlighet?

3 februari, 2025

I en tid där teknologin utvecklas i rasande takt, och snabbhet med nya produkter till marknaden är avgörande, blir cyberhoten alltmer sofistikerade. Europeiska unionen har svarat med att anta ett nytt och förbättrat cybersäkerhetsdirektiv som förväntas börjar gälla oktober 2025, känt som NIS2.

Vad är NIS2?

NIS är en förkortning av Network and Information Systems security directive. NIS2 är en uppföljare till det ursprungliga NIS-direktivet och syftar till att stärka säkerheten inom medlemsländerna och skydda samhällen mot digitala hot. Men vad innebär egentligen NIS2, och vilka utmaningar och möjligheter ser vi framför oss?

Direktivet kräver att företag och organisationer vidtar åtgärder för att skydda sina nätverk och informationssystem samt rapporteringskrav på incidenter och informationssäkerhet. NIS2 bedöms av många som mer omfattande än GDPR-direktivet, och kan även gälla företag och organisationer som ingår i leverantörskedjor.

Det handlar inte bara om att skydda data, utan även om att värna företagskultur, relationer och varumärke. Företag som redan har antagit ramverk eller standarder och jobbar med kvalitetsledningssystem är bättre förberedda på att hantera nya regelverk.

Förbättrad cybersäkerhet och incidenthantering

En av de främsta fördelarna med NIS2 är att det erbjuder en starkare och mer enhetlig ram för cybersäkerhet inom hela EU. Dessutom skapar det en förberedelse för andra regler och ramverk.

Direktivet kräver att företag rapporterar säkerhetsincidenter inom en viss tidsram, vilket leder till snabbare respons och effektivare hantering av cyberhot.

Vilka omfattas av NIS2-direktivet?

Här är en översikt över vilka som omfattas av direktivet:

Väsentliga tjänsteleverantörer

Dessa inkluderar företag och organisationer som tillhandahåller tjänster som är avgörande för samhällets och ekonomins funktion. Exempel på sådana tjänsteleverantörer är:

  • Energiföretag (t.ex. el, gas och olja)
  • Transportföretag (t.ex. flyg, järnväg, sjöfart och vägtransport)
  • Banker och finansiella institutioner
  • Hälso- och sjukvårdsleverantörer
  • Dricksvatten-, avloppsvatten- och avfallsföretag
  • Digital infrastruktur (t.ex. internet och datacenter)

Digitala tjänsteleverantörer

Dessa företag erbjuder tjänster online och har också en kritisk roll för samhällets funktion. Exempel är digitala marknadsplatser, molntjänstleverantörer och sökmotorer.

Medelstora och stora företag

NIS2 omfattar primärt stora företag och organisationer inom de nämnda sektorerna. Små och medelstora företag kan ofta undantas, såvida de inte levererar viktiga tjänster som kan påverka samhällets funktion, eller är underleverantör till ett större företag eller organisation.

Leverantörskedjor

Företag och organisationer som ingår i leverantörskedjor till de nämnda sektorerna kan också omfattas av NIS2. Detta inkluderar underleverantörer och partners som tillhandahåller kritiska tjänster eller produkter som påverkar den övergripande säkerheten i leverantörskedjan.

Offentliga förvaltningar

De flesta offentliga myndigheter och institutioner som utför vitala tjänster för allmänheten omfattas av direktivet, beroende på medlemslandets implementering.

Roger Edin
Roger Edin, Anchor Management Consulting. Foto: Dan Sone

Hur följs NIS2 upp av myndigheter?

NIS2-direktivet innebär skärpta tillsyns- och sanktionsåtgärder. Tillsynsmyndigheterna får utökade befogenheter att övervaka och genomdriva reglerna, samt att utföra regelbundna granskningar och inspektioner av företag och organisationer som omfattas av direktivet.

I Sverige har Myndigheten för samhällsskydd och beredskap (MSB) ett nationellt samordningsansvar för tillsynsmyndigheter. Exempel på myndigheter som har tillsynsansvar för sina samhällsfunktioner är Finansinspektionen, Post- och telestyrelsen (PTS), Energimyndigheten och Inspektionen för vård och omsorg (IVO).

Sanktioner

Företag och organisationer som inte följer NIS2-direktivets krav riskerar att drabbas av betydande sanktioner. Dessa kan inkludera administrativa böter, som varierar beroende på överträdelsens allvar och företagets storlek. Vid allvarliga eller upprepade brott kan sanktionerna omfatta:

  • Böter på upp till 10 miljoner Euro eller 2 % av den globala årsomsättningen, beroende på vilket belopp som är högre
  • Förelägganden om att åtgärda säkerhetsbrister inom en viss tidsram
  • Offentliggörande av överträdelsen för att informera allmänheten och andra intressenter
  • Begränsning av tillgången till vissa tjänster eller marknader tills säkerhetsåtgärderna är på plats

Utmaningar med NIS2

Att uppfylla de krav som ställs av NIS2 kan vara kostsamt för många företag, särskilt för små och medelstora företag. Investeringar i ny teknologi, anställning av cybersäkerhetsexperter och implementering av nya säkerhetsprotokoll kan innebära betydande finansiella utmaningar.

Implementeringen av NIS2 kan kräva omfattande anpassning och förändringar i företagets befintliga säkerhetssystem och processer. Denna komplexitet kan vara svår att hantera, särskilt för företag som saknar tillräckliga resurser och expertis inom cybersäkerhet och informationshantering.

Möjligheter med NIS2

Företag och organisationer ser ofta regelverk som hinder snarare än tillgångar. Som exempel kan vi ta problematiken kring införandet tidigare av GDPR som för många blev påtvingat i sista minuten och ledde till ett begränsat mervärde i form av tillvaratagna synergier och nya affärsmöjligheter. Ledningen tvekar ofta att investera i efterlevnad till dess att det blir obligatoriskt eller till när t.ex. ineffektivitet eller cyberincidenter tvingar dem.

Som exempel på synergier kan NIS2 och GDPR tillsammans ytterligare stärka organisationers övergripande säkerhets- och dataskyddsstrategier och underlätta för framtida regleringar etc.

Uppdatera och förbättra befintliga processer

Genom att se förordningar som ett verktyg för att stärka sin säkerhetsarkitektur kan företag bygga en starkare plattform för innovation och framtida tillväxt.

NIS2 direktivet ger företag en chans att återvinna och optimera sina befintliga processer, ramverk och regelverk. Exempel på dessa är ITIL, SOC2, GMP, MDR, GDPR och ISO 9001. Genom att integrera dessa standarder kan företag inte bara säkerställa laglig efterlevnad, utan också förbereda sig för exv. börsintroduktioner, expansion till nya marknader och lanseringar av nya produkter.

Utbilda och medvetandegöra personalen

Utbildning och kunskap är nyckeln till en framgångsrik implementering av NIS2. Genom att använda befintliga utbildningsprogram för säkerhetsmedvetenhet och anpassa dem till att inkludera NIS2-kraven kan företag säkerställa att all personal är informerad om sina roller och ansvar. Detta skapar en säkerhetskultur som stödjer efterlevnaden av befintliga och nya direktiv.

Konsulter på Anchor Management Consulting
Foto: Karin Leijon

Sammanfoga NIS2 med befintliga affärskontinuitetsplaner

Affärskontinuitet och katastrofåterställning är kritiska områden som redan hanteras av många företag. Genom att integrera NIS2-kraven i dessa planer kan företag säkerställa att deras beredskap för cyberincidenter och störningar blir än mer heltäckande och välkoordinerad.

Utnyttja befintliga teknologier och verktyg

Företag kan också dra nytta av sina nuvarande verktyg och investeringar i teknologi för att uppfylla NIS2-kraven. Genom att analysera och utvärdera hur befintliga system kan stödja de nya reglerna kan företag undvika onödiga kostnader och samtidigt säkerställa en smidig övergång. Detta kan inkludera allt från verktyg för säkerhetsövervakning till rapporterings- och analysverktyg.

Vi kan hjälpa dig att se utmaningarna som en möjlighet

På Anchor har vi många års erfarenhet av att införa regulatoriska direktiv, standards och certifieringar så att de både skapar verksamhetsnytta och uppfyller kraven på ett kostnadseffektivt sätt.

Hör gärna av dig till mig om du vill veta hur vi kan hjälpa dig med NIS2, GDPR och andra regulatoriska krav.

Om Roger Edin

›› Jag brinner för att få teorin att fungera i praktiken. Att översätta teoretiska standardiserade ramverk och modeller till kundens språk, skapa nya värden och att implementera det i verksamheten”

”För mig är en bra start på ett projekt att vi identifierat “the biggest pains” i alla delar av verksamheten. Min uppgift är att få ihop det till ett tydligt ”hur” man botar smärtan och förebygger. ‹‹