NIS2 (Network and Information Security Directive 2) är ett EU-direktiv som syftar till att stärka cybersäkerheten. Skillnaden mot det tidigare NIS1-direktivet är att det nu är fler sektorer och företag som omfattas, med nya krav på riskhantering, säkerhetsåtgärder och incidentrapportering.
Bakgrunden till NIS2 är att samhället blir alltmer digitaliserat och uppkopplat, vilket gett nya möjligheter, effektiviserat produktion och tjänster samtidigt som det också gjort verksamheter mer sårbara för hot, incidenter och sabotage. Allt fler cyberattacker genomförs mot såväl företag som infrastruktur och samhällsviktiga tjänster, ofta med stora och kostsamma konsekvenser. Cybersäkerhet har blivit en central fråga såväl för enskilda företag som för samhället i stort. Med NIS2 ställs högre krav på verksamheter för att kunna möta risken för cyberattacker och dataintrång.
Vilka verksamheter berörs?
Jämfört med tidigare är det fler sektorer i samhället som berörs av NIS2. Bland annat företag inom energi, transport, finans, hälso- och sjukvård, digital infrastruktur och livsmedelsproduktion. Förutom alla samhällsviktiga verksamheter gäller NIS2 för verksamheter med minst 50 anställda eller med minst 10 miljoner Euro i årsomsättning.
Då avdelningar inom en verksamhet ofta är nära sammankopplade med gemensamma IT-system och infrastruktur måste man ha ett gemensamt skydd för att det inte ska vara möjligt att komma åt en verksamhet genom en annan. Därför omfattar NIS2 hela verksamhetens organisation. Det innebär också att man måste säkerställa leverantörskedjan, så att även underleverantörer lever upp till kraven i NIS2.
Hur arbeta med NIS2?
NIS2 ställer högre krav på riskhantering, säkerhetsåtgärder, incidentrapportering och uppföljning. Företag som omfattas av direktivet måste arbeta strategiskt och systematiskt med säkerhet inom hela organisationen och bland annat införa åtgärder för att skydda nätverk och informationssystem samt genomföra regelbundna revisioner för att säkerställa efterlevnad. Underlåtenhet att följa NIS2 kan, förutom att verksamheten riskeras, även leda till sanktionsavgifter.
Tidplan
NIS2-direktivet kommer att genomföras i Sverige genom en lag som väntas börja gälla 15 januari 2026.
För mer information se msb.se.