Informationssäkerhet är en viktig aspekt i dagens allt mer digitaliserade samhälle, inte minst för samhällsviktiga organisationer. För att stärka skyddet av samhällsviktiga tjänster har EU infört NIS2. I det här blogginlägget ska vi titta närmare på vad NIS2 är, och vilka organisationer som omfattas av det.
Vad är NIS2?
NIS2 står för "Network and Information Systems Directive 2" och är en uppdatering av det tidigare NIS-direktivet. Syftet med NIS2 är att säkerställa en hög nivå av informationssäkerhet i hela EU genom att stärka skyddet av samhällsviktiga tjänster som en följd av den ökade digitaliseringen och hotbilden av cyberhot. NIS2 inkluderar bland annat energiförsörjning, finansiella tjänster, sjukvård och transport.
Från och med den 16 januari 2023 har EU:s medlemsländer 21 månader på sig att integrera NIS2 i sin nationella lagstiftning. De nya reglerna ska gälla från den 18 oktober 2024 i samband med att det tidigare NIS-direktivet upphör att gälla.
Vilka organisationer omfattas av NIS2?
NIS2 omfattar alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata. Det inkluderar allt från stora energibolag och banker till mindre sjukhus och transportföretag. För att avgöra om en organisation omfattas av NIS2 behöver man bedöma verksamhetens betydelse för samhällets funktioner.
Vilka krav ställer NIS2 på organisationerna?
NIS2 ställer höga krav på organisationer som omfattas av direktivet. De måste bland annat vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en hög nivå av informationssäkerhet. De måste också rapportera allvarliga incidenter till myndigheterna och samarbeta med andra organisationer för att hantera incidenter som påverkar samhällsviktiga tjänster.
NIS2 innebär även skärpta tillsynsåtgärder och företag som inte följer standarderna riskerar betydande böter. Styrande organ kan även hållas personligt ansvariga om inte lagstiftningen efterlevs.
NIS2 nya krav inkluderar bland annat:
- Strängare krav på leverantörer och säkerhet i leveranskedjan;
- Utökade krav på rapportering av incidenter;
- Förstärkta säkerhetsåtgärder för att skydda mot cyberhot;
- Nya krav på utförande av riskbedömningar.
Sammanfattningsvis om NIS2:
- NIS2 är en uppdatering av det tidigare NIS-direktivet och syftar till att stärka skyddet för samhällsviktiga tjänster genom att säkerställa informationssäkerhet i hela EU.
- Alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata, omfattas av direktivet.
- Organisationer som omfattas av NIS2 måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa informationssäkerheten.
- De måste rapportera allvarliga incidenter till myndigheterna och samarbeta med andra organisationer för att hantera incidenter som påverkar samhällsviktiga tjänster.
Hur säkerställer din organisation efterlevnad av regelverk kopplade till informationssäkerhet och behandling av personuppgifter? Upptäck hur Stratsys produkt för informationssäkerhet kan förenkla och effektivisera arbetet.
