NIS2-direktivet
Direktiv om säkerhet i nätverks- och informationssystem
Översikt
NIS2 ersätter och utvidgar betydligt det ursprungliga NIS-direktivet och etablerar en hög gemensam nivå för cybersäkerhet inom EU. Det gäller för ett mycket bredare spektrum av sektorer och enheter, inför striktare tillsynsåtgärder och harmoniserar sanktioner mellan medlemsstaterna.[1]
Som ett direktiv krävde NIS2 införlivande i nationell lagstiftning senast den 17 oktober 2024. Genomförandet varierar mellan medlemsstaterna.
Omfattning: Väsentliga vs Viktiga enheter
Väsentliga enheter (högre granskning)[2]
| Sektor | Exempel |
|---|---|
| Energisektorn | El, olja, gas, väte, fjärrvärme |
| Transport | Flyg, järnväg, vatten, väg |
| Bankväsen | Kreditinstitut |
| Finansmarknader | Handelsplatser, centrala motparter |
| Hälsa | Vårdgivare, laboratorier, läkemedel, medicintekniska produkter |
| Dricksvatten | Vattenleverantörer |
| Avloppsvatten | Avloppsrening |
| Digital infrastruktur | IXP:er, DNS, TLD-register, molntjänster, datacenter, CDN:er, TSP:er |
| ICT-tjänstehantering | Managed service providers, managed security service providers |
| Offentlig förvaltning | Centralmyndigheter |
| Rymd | Operatörer av markbaserad infrastruktur |
Viktiga enheter (lättare granskning)
| Sektor | Exempel |
|---|---|
| Posttjänster | Post- och kurirtjänster |
| Avfallshantering | Insamling och behandling av avfall |
| Kemikalier | Tillverkning och distribution |
| Livsmedel | Produktion och distribution |
| Tillverkning | Medicintekniska produkter, elektronik, maskiner, fordon |
| Digitala leverantörer | Online-marknadsplatser, sökmotorer, sociala nätverk |
| Forskning | Forskningsorganisationer |
Storleksgränser
NIS2 gäller generellt för medelstora och stora enheter:
- Medelstor: 50+ anställda ELLER €10M+ omsättning/balansräkning
- Stor: 250+ anställda ELLER €50M+ omsättning ELLER €43M+ balansräkning
Vissa enheter gäller oavsett storlek (DNS, TLD-register, molnleverantörer, datacenter, etc.).
Viktiga krav
Riskhanteringsåtgärder (Artikel 21)[3]
Enheter måste implementera lämpliga tekniska, operativa och organisatoriska åtgärder:
- Policyer: Riskanalys och informationssystemsäkerhetspolicyer
- Hantering av incidenter: Upptäckt, respons och återhämtningsprocedurer
- Verksamhetskontinuitet: Backup, katastrofåterställning, krishantering
- Säkerhet i leverantörskedjan: Säkerhetskrav för leverantörer
- Nätverkssäkerhet: Säkerhet vid anskaffning, utveckling och underhåll
- Utvärdering av effektivitet: Policyer för att bedöma säkerhetsåtgärdernas effektivitet
- Grundläggande cybersäkerhet: Utbildning och medvetandeprogram
- Kryptografi: Policyer för kryptografiska kontroller och kryptering
- Personalresurser: Personalsäkerhet och åtkomstkontroller
- Multifaktorautentisering: MFA och säkra kommunikationssystem
Incidentrapportering (Artikel 23)[4]
| Tidslinje | Krav |
|---|---|
| 24 timmar | Tidig varning till CSIRT/behörig myndighet |
| 72 timmar | Incidentanmälan med initial bedömning |
| 1 månad | Slutrapport med grundorsak och åtgärder |
Betydande incidenter måste rapporteras om de orsakar eller kan orsaka allvarliga driftstörningar eller ekonomiska förluster, eller påverkar andra fysiska eller juridiska personer.
Ledningens ansvar
Ledningsorgan måste:
- Godkänna cybersäkerhetsriskhanteringsåtgärder
- Övervaka genomförandet av säkerhetsåtgärder
- Personligen ansvariga för bristande efterlevnad
- Genomgå cybersäkerhetsutbildning
Påföljder
- Väsentliga enheter: Upp till 10 miljoner euro eller 2 % av global omsättning
- Viktiga enheter: Upp till 7 miljoner euro eller 1,4 % av global omsättning[5]
Medlemsstater kan införa ytterligare påföljder, inklusive tillfälliga förbud för ledningen.
Utvecklare och ICT-tjänsteleverantörers skyldigheter
Om du tillhandahåller ICT-tjänster eller produkter:
- Managed Service Providers: Direkt inom tillämpningsområdet som väsentliga enheter
- Molnleverantörer: Direkt inom tillämpningsområdet som väsentliga enheter
- Programvaruutvecklare: Skyldigheter i leverantörskedjan från kundens enheter
- Säkerhetsleverantörer: Kan utses som viktiga enheter