Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Voister förklarar

NIS2

NIS2 Lakemedel

Dagens NIS-direktiv ställer krav på alla verksamheter som sysslar med samhällsviktiga tjänster. Men nu har EU-kommissionen föreslagit att direktivet ska uppdateras i det som kallas NIS2 för att bättre anpassas efter dagens säkerhetsbehov. Planen är också att många fler aktörer kommer att beröras och för den som bryter mot direktivet kommer straffet att bli kännbart.

Det finns ett antal skillnader mellan det nuvarande NIS-direktivet och EU-kommissionens förslag för NIS2. Bland annat innebär det nya förslaget en kraftig utökning vad gäller vilka verksamheter som omfattas.

Ett område som saknades i det tidigare direktivet men som är med nu är fjärrvärme. Nytt är även biogasproduktion från kompost eller lantbruksavfall. Även sophantering, livsmedelsproduktion, avloppshantering och läkemedelstillverkning omfattas i det nya NIS2.

Förvånande för vissa är även att tillverkningsindustri inom fordon, kemikalier, datorer, maskiner och verktyg omfattas.

Det finns även krav på att verksamheter som omfattas av NIS2 ska jobba med säkerhet hos sina leverantörer. Det innebär förmodligen att de flesta underleverantörer kommer att få samma krav på sig, förutom tillsynen från en myndighet. Förmodligen innebär det här att många organisationer som inte brytt sig nämnvärt om det tidigare NIS-direktivet kommer att omfattas av NIS2.

Mindre verksamheter kommer förmodligen vara undantagna från NIS2. Dock kan myndigheter peka ut en liten verksamhet om den anses vara samhällsviktig.

Vad är syftet med NIS2?

Syftet är att uppnå en ökad gemensam motståndskraft mot cyberrelaterade hot inom EU. Direktivet ska även vara bättre anpassat efter rådande och framtida säkerhetsbehov.

Innebär NIS2 ökade krav på verksamheterna som omfattas?

I förslaget från EU-kommissionen har ländernas tillsynsmyndigheter fått utökade möjligheter att utdöma sanktioner. Rent pengamässigt är det i samma storleksordning som för GDPR, för NIS2 gäller 10 miljoner euro eller 2 procent av den totala omsättningen.

Dessutom kan tillsynsmyndigheter tillfälligt förhindra ansvariga personer att verka i verksamhetens ledning om de misslyckats åtgärda incidenter på ett effektivt sätt.

Det finns krav på utbildning av ledningen så att de ska förstå risker och utmaningar kopplat till cybersäkerhet.

Därutöver finns det krav på ett gäng andra delar, såsom riskanalyser, säkerhetspolicies, incidenthantering, kontinuitetsplanering, krishantering, leverantörssäkerhet, mätning av säkerhetsarbetets effektivitet och sårbarhetsrapportering även om incidenter ej uppstår.

Vad händer nu?

EU-kommissionen kom med förslaget till NIS2 i december 2020. Det är nu uppe för förhandling och när man kommit överens om ett skarpt förslag kommer EU:s medlemsländer att ha 18 månader på sig att hantera ett införande.

Vad är det ursprungliga NIS-direktivet?

2018 trädde NIS-direktivet i kraft. Namnet står för The Directive on security of network and information systems. Det berör alla myndigheter, kommuner, regioner och företag som har hand om samhällskritisk infrastruktur.

Alla aktörer som sysslar med samhällsviktig infrastruktur måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver. Det innebär bland annat incidenthantering, rapporteringsskyldigheter samt årlig uppföljning på säkerhetsanalyser.

9 mars 2021 Uppdaterad 11 mars 2021 Reporter Fredrik Adolfsson Voister förklarar Foto Adobestock

Rekommenderad läsning

Eu Ladyjustice Schrems
Voister förklarar

Schrems II-domen

22 feb 2021 säkerhet

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

Ms Corona 960640

MS plan för säkerhet

10 nov 2020 säkerhet

Microsoft vill göra det enklare att ha koll på regler och förordningar samt upptäcka och svara på cyberattacker. Som en följd av coronapandemin lanserade man på Ignite ett nytt verktyg för regelefterlevnad och ett XDR-skydd som tar hand om bland annat appar, moln och IoT-enheter.

Gdpr Hjalp Hund

Hjälp med GDPR

9 sep 2020 säkerhet

GDPR gör skillnad på personuppgiftsansvariga och personuppgiftsbiträden. Därför har Datainspektionen varit med och tagit fram en vägledning som ska klarlägga gränsdragningen mellan rollerna och ge klarhet i vilka följderna blir när man har någon av dem. 

Drönare 960640
Voister förklarar

Drönare

8 sep 2020 Voister förklarar

Från och med 1 januari 2021 gäller nya drönarregler inom EU, en följd av att de obemannade luftfartygen blir allt vanligare. Vad innebär de nya reglerna, får man flyga överallt och vilka är egentligen användningsområdena? Voister förklarar allt om drönare. 

Ansiktsigenkänning 960640

Grönt för igenkänning

30 jun 2020 säkerhet

Datainspektionen har beslutat att tillåta anonym ansiktsigenkänning. Tanken är att tekniken ska göra det lättare att förstå kundbeteenden i fysisk handel.

gammaldags telefonlur hänger ner mot ljusblå bakgrund.jpg

Svenskt 5G säkras

14 apr 2020 säkerhet

Post- och telestyrelsen, PTS, får i uppdrag av regeringen att kartlägga de största hoten och riskerna med svenska kommunikationsnät. Det gäller särskilt de kommande 5G-näten.

ansiktsigenkänning-ung-kille.jpg

Myndigheter AI-utreds

12 mar 2020 säkerhet

Datainspektionen ska utreda ifall svenska myndigheter använder ansiktsigenkänningen som Clearview AI erbjuder. Diverse medieuppgifter gör gällande att myndigheter inom EU nyttjar företagets kontroversiella teknik. 

liten bil en bubbla mot blå bakgrund.jpg

Google vill reglera AI

21 jan 2020 säkerhet

Chefen för Googles moderbolag Alphabet, Sundar Pichai, vill se en reglering för AI-tekniken. Det skriver han i en debattartikel i Financial Times.

kvinna med ett i photoshop beskuret ansikte.jpg

EU föreslår förbud

20 jan 2020 säkerhet

EU-kommissionen föreslår att ansiktsigenkänning i publika rum ska förbjudas i upp till fem år. Syftet är att få tid att undersöka teknikens inverkan på samhället.