NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerheten inom samhällsviktiga och kritiska sektorer. Det ersätter det tidigare NIS-direktivet och innebär en bredare tillämpning, skärpta krav och hårdare sanktioner. Målet är att öka motståndskraften mot cyberhot och säkerställa kontinuitet i kritiska tjänster. I Sverige förväntas lagstiftningen träda i kraft sommaren 2025.

Agera nu

Om en verksamhet omfattas av direktivet måste den redan nu börja anpassa sina säkerhetsrutiner för att möta de nya kraven, enligt Antonia Cruz Olsson, CIO på RCO Security.

– Det är viktigt att tänka på att NIS2 inte är en certifiering av produkter utan en lagstiftning som kräver att hela organisationen arbetar systematiskt och riskbaserat med säkerhet. Det handlar om att skapa en säkerhetskultur som genomsyrar hela verksamheten, från ledning till medarbetare, kommenterar hon.

Vilka berörs och vad står på spel?

Antonia Cruz Olsson framhåller att verksamheter inom samhällskritiska funktioner är direkt påverkade av NIS2, men även företag som levererar tjänster till dessa sektorer kan indirekt påverkas.

– Om du inte följer NIS2-kraven riskerar du sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av din globala årsomsättning. Ledande befattningshavare kan dessutom hållas personligt ansvariga och förbjudas att inneha ledande roller.

– Anseendet står också på spel då brott mot reglerna kan behöva offentliggöras. Men se också detta som ett tillfälle att framtidssäkra din verksamhet och minska risken för cyberangrepp, fortsätter Antonia Cruz Olsson.

Agera nu för att undvika framtida risker

Att vänta med att anpassa sig till NIS2 är inte ett alternativ, enligt Antonia Cruz Olsson.

– Börja med en nulägesanalys och implementera säkerhetsåtgärder som skyddar din verksamhet på lång sikt.

RCO Securitys NIS2-checklista

Förstå tillämpningsområdet

A. Identifiera om verksamheten omfattas av NIS2

Kolla om organisationen tillhör en av de sektorer som täcks direkt av direktivet, eller om verksamheten påverkas indirekt genom affärsrelationer med andra organisationer (t.ex. i egenskap av leverantör) som omfattas.

B. Riskklassificering

Utvärdera organisationens risknivå och vilken kategori den tillhör (väsentliga eller viktiga enheter).

Genomför en nulägesanalys

A. Säkerhetsnivå

Gör en analys av nuvarande cybersäkerhetsnivå, inklusive tekniska och organisatoriska kontroller.

B. GAP-analys

Identifiera skillnader mellan nuläge och NIS2-kraven.

C. Systemkartläggning

Skapa en inventering av alla kritiska system, nätverk och tjänster.

Stärk den tekniska säkerheten

A. Incidenthantering.

Implementera robusta system för att upptäcka, rapportera och hantera säkerhetsincidenter.

B. Sårbarhetshantering

Utför regelbundna sårbarhetsskanningar och patchhantering.

C. Åtkomstkontroller

Se till att strikta åtkomstkontroller är på plats och att principen om minimal behörighet efterlevs.

D. Backup och återställning

Etablera regelbundna och säkra backuprutiner med testade återställningsplaner.

Utveckla organisatoriska processer

A. Ledningens engagemang

Säkerställ att ledningen är involverad och stödjer arbetet med NIS2.

B . Informationssäkerhetspolicy

Uppdatera eller utveckla policys för att efterleva NIS2-kraven.

C. Utbildning och medvetenhet

Träna anställda på cybersäkerhet och deras roll i att upprätthålla säkerheten.

D. Leverantörshantering

Utvärdera och säkra leveranskedjor för såväl nuvarande som nya tredjeparter.

Säkerställ rapportering och efterlevnad

A. Incidentrapportering

Sätt upp rutiner för att rapportera incidenter inom de tidsramar som NIS2 kräver.

B. Dokumentation

Dokumentera säkerhetsrutiner, riskhantering och åtgärder för att kunna visa efterlevnad.

Etablera kontinuitet

A. Riskhantering

Implementera ett riskhanteringssystem som kontinuerligt bedömer hotbilden.

B. Kontinuitetsplanering

Utveckla en kontinuitets- och återhämtningsplan för verksamheten vid störningar.

C. Test och simulering

Öva på scenarier och simulera cyberattacker för att utvärdera er beredskap.