– NIS2 i Sverige – hur påverkas din verksamhet?
Lästid: 12 minuter.
NIS2-direktivet innebär skärpta krav på cybersäkerhet i hela EU, och berör långt fler verksamheter än det första NIS-direktivet. Vad innebär NIS2 för din organisation, hur förbereder du dig på bästa sätt – och hur kan NIS2 hjälpa dig äska större it-budget från ledningen?
NIS – vad är det?
NIS står för security of network and information systems. Det första NIS-direktivet antogs av Europaparlamentet och -rådet 2016 och blev en del av svensk lagstiftning 2018. Det nya NIS2-direktivet kan beskrivas som en utvidgning av NIS. Syftet med de här direktiven är att skapa gemensamma juridiska ramverk för cybersäkerhet inom EU:s medlemsländer, för att på sikt öka cyberresiliensen inom unionen.
– Införandet av NIS2 är en game-changer för cybersäkerhet i EU. Att agera tidigt kommer att spara både tid och resurser i framtiden, samtidigt som det ökar företagets trovärdighet, säger Johan Caripson, Commercial Business Manager på GlobalConnect.
NIS2-direktivet skärper kraven – detta är nytt
Hur skiljer sig NIS2 mot det tidigare NIS-direktivet? Och vad innebär det i praktiken? Här nedan listar vi tre viktiga förändringar att hålla koll på:
1. NIS2 omfattar fler sektorer
Det första NIS-direktivet omfattade ”leverantörer av samhällsviktiga tjänster” inom privat och offentlig sektor. Detta gällde främst bankverksamhet, energi, sjukvård, transporter, digital infrastruktur och dricksvattenförsörjning. NIS2 omfattar flera nya sektorer, som bland annat offentlig förvaltning, hantering av avloppsvatten och förvaltning av IKT-tjänster.
2.Tydligare säkerhetskrav med NIS2 – så påverkas din organisation
Med NIS2 införs ett minimikrav för åtgärder, till exempel när det gäller hanteringen av risker i leverantörskedjan. Varje medlemsland ska säkerställa att de aktörer som berörs vidtar tekniska, operationella och organisatoriska åtgärder för att öka cybersäkerheten. Det innebär bland annat att kunskap om cyberhygien behöver förankras i de olika verksamheterna genom rutiner, zero trust-principer, utbildning av medarbetare och översyn av system.
3. Krav på mer detaljerad rapportering vid incidenter
De berörda aktörerna behöver rapportera om till exempel allvarliga säkerhetsincidenter på en mer detaljerad nivå än tidigare.
När blir NIS2 svensk lag?
NIS2 infördes i EU, oktober 2024. Det är upp till varje enskilt EU-land att införliva direktivet i sin egen lokala lagstiftning. Exakt hur lagen kommer att utformas i Sverige är inte helt klart än. En statlig utredning (SOU 2024:18) har dock genomförts, med detaljerade förslag på hur regelverket skulle kunna tillämpas.
Vad händer om min organisation inte följer NIS2?
Om din verksamhet omfattas av NIS2, men inte lever upp till kraven i direktivet, kan det leda till böter på upp till 10 miljoner euro eller två procent av företagets globala omsättning.
3 steg för att anpassa din verksamhet för NIS2
Vilka åtgärder som krävs för att göra just din verksamhet NIS2-compliant beror på er nuvarande situation. Men här är tre goda råd på vägen:
1. Utgå från att din organisation omfattas av NIS2
Är du osäker på om din verksamhet omfattas av NIS2 eller inte? Då är det klokast att utgå från att ni berörs – antingen direkt eller indirekt som del av en längre leverantörskedja. Att öka cybersäkerheten är alltid en god investering, oavsett lagkrav. Dessutom stärker det din position på marknaden där du verkar. Aktörer som du levererar till kan nämligen mycket väl komma att ställa krav på NIS2-efterlevnad på sina underleverantörer för att teckna avtal.
2. Börja utvärdera dina behov och planera åtgärder i god tid
Om du inte redan har satt igång är det hög tid att börja. Tänk på att varje steg i processen – från att utvärdera ditt nuläge till att uppgradera tekniska lösningar, sätta upp rutiner och utbilda din personal – tenderar att ta betydligt längre tid än du tror. Att avvakta för att se hur andra agerar först är därför en högst riskabel strategi.
3. Avsätt resurser – eller effektivisera med smarta åtgärder
Det är omöjligt att sätta en exakt prislapp på vad det kommer att kosta just din organisation att bli NIS2-compliant. Men risken är stor att ni kommer behöva öka it-budgeten – eller åtminstone använda befintliga pengar på ett mer effektivt sätt. Ett sätt att effektivisera resurserna är att samla dina nätverkstjänster hos en leverantör.
NIS2 lyfter cybersäkerhet till en strategisk budgetfråga
Du som jobbar med it-frågor känner säkert igen synsättet att it ska funka, men helst inte kosta. Enligt en Sifo-undersökning bland it-chefer anser nästan fyra av tio redan idag att deras budget inte är rimlig för uppdraget. Och trots att cyber-attackerna blir fler verkar svenska företag tveka att höja sin it-säkerhetsbudget.
Det ekonomiska utgångsläget för en massiv uppgradering kan alltså se mörkt ut. Men NIS2-direktivet förser dig med starka argument till varför it borde få mer resurser. Att investera i en solid säkerhetsstruktur som är långsiktigt hållbar är nämligen betydligt billigare än att försöka lappa och laga med kortsiktiga punktinsatser. För att inte tala om de böter organisationen kan få om kraven inte följs.
Om dessa argument inte räcker kan du peka på risken att gå miste om affärer i takt med att era befintliga och potentiella kunder börjar kräva NIS2-efterlevnad. I förlängningen kommer NIS2 innebära en ny, högre standard för it-säkerhet generellt. Och då vill varken du eller ledningen att er verksamhet sticker ut som ett mindre säkert alternativ.
Inspelat webinarium för dig som vill veta mer om NIS2
Streama vårt inspelade webinarium, där experter inom cybersäkerhet förklarar hur en modern SOC-tjänst fungerar – och hur du gör din verksamhet redo för NIS2.
