MSB: Så förbereder du dig för NIS2

Den 18 oktober 2024 träder NIS2-direktivet i kraft i EU och ersätter det ursprungliga NIS-direktivet. Det uppgraderade direktivet har som syfte att förbättra den kollektiva cybersäkerheten inom medlemsländerna.

Det nya direktivet utreds fortfarande gällande hur det ska omsättas till svensk lag, så exakt hur de nya kraven kommer att utformas är ännu inte klart. Men vissa, tydliga förändringar står klara redan nu.

Där NIS hade fokus på sju utvalda sektorer kommer NIS2 att beröra fler aktörer, vara bredare i sin natur och fokusera mer på att samhället som helhet ska fungera.

– Det blir även skärpta krav på vad berörda aktörer måste göra och mer utförliga tillskrivningar om sanktionsavgifter. Sanktionsavgifterna blir högre, och både krav och sanktioner delas upp i olika nivåer för olika kategorier av aktörer, säger Johanna Nilsson, Informationssäkerhetsspecialist på MSB.

Samma regler för alla länder

Med nya NIS2-direktivet ska reglerna även bli mer enhetliga mellan medlemsstaterna.

– Det kommer finnas mindre utrymme för tolkning. I första NIS kunde olika länder definiera direktivet på olika sätt, nu blir det mer styrning från EU-håll.

En annan stor skillnad mot NIS1 är omfattningen. Låt säga att du är en organisation som levererar samhällsviktiga tjänster gällande exempelvis dricksvatten eller elförsörjning. Tidigare har endast delen av verksamheten som står för den samhällsviktiga tjänsten berörts, men i NIS2 kommer hela organisationen att omfattas, enligt Johanna Nilsson.

– Du behöver inte bara se till att allt är i sin ordning för den lilla samhällsviktiga delen av din organisation, utan kraven gäller för hela verksamheten.

– Det blir också tydligare krav på att ha koll på dina leverantörer, och deras leverantörer. Hela leveranskedjan måste jobba för att bli NIS2-kompatibla.

Tillsätt en ledare för informationssäkerhetsarbetet

Trots att direktivet fortsatt är under utredning finns det, enligt Johanna Nilsson, vissa delar som din verksamhet redan nu kan göra för att förbereda sig. Första prio är att se till att stärka upp din organisations informationssäkerhet så mycket som möjligt.

– Om du inte har en person som leder och samordnar informationssäkerhetsarbetet borde du skaffa det omgående. Och säkerställ att du har en tillräckligt bra incidenthantering och rapportering. Detta kan ibland glömmas bort men är väldigt viktigt. På Cert.se kan du hitta rätt rapporteringsrutiner.

Därtill behöver ledningen i din organisation komma in i matchen direkt.

– Det blir skarpare krav på ledningens ansvar. Tidigare har de haft ett allmänt ansvar som ledning, men deras ansvar är mer explicit uttryckt nu. I och med NIS2 får de vissa skyldigheter i att se till att verksamheten följer kraven.

– Jag rekommenderar även din organisation att hålla koll på utredningen och läsa igenom direktivet, vissa delar är relativt klara redan idag. Detta gäller speciellt om du är en myndighet, eller om du redan omfattas av NIS1. Om du inte gör det kan du ändå kolla igenom vad de nya kraven är, detta ger en bild av vad som förväntas av din organisation. Att få till en bra informationssäkerhet tar tid, så det är bäst att sätta igång omgående, säger Johanna Nilsson.