I en tid där teknologin utvecklas i rasande takt, och snabbhet med nya produkter till marknaden är avgörande, blir cyberhoten alltmer sofistikerade. Europeiska unionen har svarat med att anta ett nytt och förbättrat cybersäkerhetsdirektiv som förväntas börjar gälla oktober 2025, känt som NIS2.
NIS är en förkortning av Network and Information Systems security directive. NIS2 är en uppföljare till det ursprungliga NIS-direktivet och syftar till att stärka säkerheten inom medlemsländerna och skydda samhällen mot digitala hot. Men vad innebär egentligen NIS2, och vilka utmaningar och möjligheter ser vi framför oss?
Direktivet kräver att företag och organisationer vidtar åtgärder för att skydda sina nätverk och informationssystem samt rapporteringskrav på incidenter och informationssäkerhet. NIS2 bedöms av många som mer omfattande än GDPR-direktivet, och kan även gälla företag och organisationer som ingår i leverantörskedjor.
Det handlar inte bara om att skydda data, utan även om att värna företagskultur, relationer och varumärke. Företag som redan har antagit ramverk eller standarder och jobbar med kvalitetsledningssystem är bättre förberedda på att hantera nya regelverk.
En av de främsta fördelarna med NIS2 är att det erbjuder en starkare och mer enhetlig ram för cybersäkerhet inom hela EU. Dessutom skapar det en förberedelse för andra regler och ramverk.
Direktivet kräver att företag rapporterar säkerhetsincidenter inom en viss tidsram, vilket leder till snabbare respons och effektivare hantering av cyberhot.
Här är en översikt över vilka som omfattas av direktivet:
Dessa inkluderar företag och organisationer som tillhandahåller tjänster som är avgörande för samhällets och ekonomins funktion. Exempel på sådana tjänsteleverantörer är:
Dessa företag erbjuder tjänster online och har också en kritisk roll för samhällets funktion. Exempel är digitala marknadsplatser, molntjänstleverantörer och sökmotorer.
NIS2 omfattar primärt stora företag och organisationer inom de nämnda sektorerna. Små och medelstora företag kan ofta undantas, såvida de inte levererar viktiga tjänster som kan påverka samhällets funktion, eller är underleverantör till ett större företag eller organisation.
Företag och organisationer som ingår i leverantörskedjor till de nämnda sektorerna kan också omfattas av NIS2. Detta inkluderar underleverantörer och partners som tillhandahåller kritiska tjänster eller produkter som påverkar den övergripande säkerheten i leverantörskedjan.
De flesta offentliga myndigheter och institutioner som utför vitala tjänster för allmänheten omfattas av direktivet, beroende på medlemslandets implementering.
NIS2-direktivet innebär skärpta tillsyns- och sanktionsåtgärder. Tillsynsmyndigheterna får utökade befogenheter att övervaka och genomdriva reglerna, samt att utföra regelbundna granskningar och inspektioner av företag och organisationer som omfattas av direktivet.
I Sverige har Myndigheten för samhällsskydd och beredskap (MSB) ett nationellt samordningsansvar för tillsynsmyndigheter. Exempel på myndigheter som har tillsynsansvar för sina samhällsfunktioner är Finansinspektionen, Post- och telestyrelsen (PTS), Energimyndigheten och Inspektionen för vård och omsorg (IVO).
Företag och organisationer som inte följer NIS2-direktivets krav riskerar att drabbas av betydande sanktioner. Dessa kan inkludera administrativa böter, som varierar beroende på överträdelsens allvar och företagets storlek. Vid allvarliga eller upprepade brott kan sanktionerna omfatta:
Att uppfylla de krav som ställs av NIS2 kan vara kostsamt för många företag, särskilt för små och medelstora företag. Investeringar i ny teknologi, anställning av cybersäkerhetsexperter och implementering av nya säkerhetsprotokoll kan innebära betydande finansiella utmaningar.
Implementeringen av NIS2 kan kräva omfattande anpassning och förändringar i företagets befintliga säkerhetssystem och processer. Denna komplexitet kan vara svår att hantera, särskilt för företag som saknar tillräckliga resurser och expertis inom cybersäkerhet och informationshantering.
Företag och organisationer ser ofta regelverk som hinder snarare än tillgångar. Som exempel kan vi ta problematiken kring införandet tidigare av GDPR som för många blev påtvingat i sista minuten och ledde till ett begränsat mervärde i form av tillvaratagna synergier och nya affärsmöjligheter. Ledningen tvekar ofta att investera i efterlevnad till dess att det blir obligatoriskt eller till när t.ex. ineffektivitet eller cyberincidenter tvingar dem.
Som exempel på synergier kan NIS2 och GDPR tillsammans ytterligare stärka organisationers övergripande säkerhets- och dataskyddsstrategier och underlätta för framtida regleringar etc.
Genom att se förordningar som ett verktyg för att stärka sin säkerhetsarkitektur kan företag bygga en starkare plattform för innovation och framtida tillväxt.
NIS2 direktivet ger företag en chans att återvinna och optimera sina befintliga processer, ramverk och regelverk. Exempel på dessa är ITIL, SOC2, GMP, MDR, GDPR och ISO 9001. Genom att integrera dessa standarder kan företag inte bara säkerställa laglig efterlevnad, utan också förbereda sig för exv. börsintroduktioner, expansion till nya marknader och lanseringar av nya produkter.
Utbildning och kunskap är nyckeln till en framgångsrik implementering av NIS2. Genom att använda befintliga utbildningsprogram för säkerhetsmedvetenhet och anpassa dem till att inkludera NIS2-kraven kan företag säkerställa att all personal är informerad om sina roller och ansvar. Detta skapar en säkerhetskultur som stödjer efterlevnaden av befintliga och nya direktiv.
Affärskontinuitet och katastrofåterställning är kritiska områden som redan hanteras av många företag. Genom att integrera NIS2-kraven i dessa planer kan företag säkerställa att deras beredskap för cyberincidenter och störningar blir än mer heltäckande och välkoordinerad.
Företag kan också dra nytta av sina nuvarande verktyg och investeringar i teknologi för att uppfylla NIS2-kraven. Genom att analysera och utvärdera hur befintliga system kan stödja de nya reglerna kan företag undvika onödiga kostnader och samtidigt säkerställa en smidig övergång. Detta kan inkludera allt från verktyg för säkerhetsövervakning till rapporterings- och analysverktyg.
På Anchor har vi många års erfarenhet av att införa regulatoriska direktiv, standards och certifieringar så att de både skapar verksamhetsnytta och uppfyller kraven på ett kostnadseffektivt sätt.
Hör gärna av dig till mig om du vill veta hur vi kan hjälpa dig med NIS2, GDPR och andra regulatoriska krav.
”För mig är en bra start på ett projekt att vi identifierat “the biggest pains” i alla delar av verksamheten. Min uppgift är att få ihop det till ett tydligt ”hur” man botar smärtan och förebygger. ‹‹
Stockholm HQ
Sveavägen 33, 5tr
SE-111 34 Stockholm
Malmö
Nordenskiöldsgatan 24, 2tr
SE-211 19 Malmö
Helsingborg
Henckels torg 4, 1tr
SE-252 25 Helsingborg
Copyright © 2024 · Anchor Management Consulting · Integritetspolicy