I takt med att vårt samhälle digitaliseras och blir alltmer uppkopplat ökar risken för cyberattacker och andra säkerhetshot på företag och myndigheter. För att möta dessa utmaningar och stärka den digitala säkerheten har EU beslutat om en skärpning av det tidigare NIS1-direktivet som syftar till att stärka säkerheten inom kritisk infrastruktur och samhällsviktiga tjänster. I en statlig utredning om hur NIS2 ska införlivas i svensk lagstiftning föreslås en ny lag, cybersäkerhetslagen, som förväntas träda i kraft i januari 2025. 

Vad innebär NIS2 för svenska företag, och hur påverkar det säkerhetsbranschen och aktörer som RCO Security? 

Vad är NIS2 och varför har det införts?

NIS2 (Network and Information Security) är en vidareutveckling av NIS1, det första EU-direktivet som trädde i kraft 2018 för att förbättra cybersäkerheten, skydda känslig information och infrastruktur inom samhällsviktiga sektorer. Med NIS2 har EU utökat direktivets omfattning och ställt högre krav för att möta risken för cyberattacker och dataintrång. Genom att säkerställa robust cybersäkerhet främjar NIS2 stabilitet, tillförlitlighet och förtroende i det digitala ekosystemet, vilket är avgörande för myndigheter och privata sektorns fortsatta utveckling.

 

Det är viktigt att förstå att NIS2 inte är en certifiering för produkter – det är en lagstiftning som riktar sig mot verksamheter. Det innebär att det inte räcker att bara köpa in rätt teknik; hela organisationen måste arbeta systematiskt och strategiskt med säkerhet. NIS2 handlar om att skapa en säkerhetskultur som genomsyrar hela verksamheten, från ledning till enskilda medarbetare.

 

Antonia Cruz Olsson, IT-chef, RCO Group.

-    Vi välkomnar krav som fokuserar på att etablera god cybersäkerhet i hela verksamheten i alltifrån teknik, arbetssätt, rapportering och uppföljning. Vi ser fram emot att detta höjer miniminivån för den digitala säkerheten i samhället och att såväl företag som myndigheter på så sätt står väl rustade inför framtiden, säger Antonia Cruz Olsson, IT-chef, RCO Group.

 

Vilka omfattas av NIS2-direktivet?

EU vill att NIS2-direktivet ska beröra fler organisationer än sin föregångare och riktar sig till både privata och offentliga aktörer som tillhandahåller samhällsviktiga tjänster. Detta inkluderar företag inom sektorer som energi, transport, hälso- och sjukvård, finans, digital infrastruktur samt offentliga myndigheter. NIS2 utökas också till att omfatta fler leverantörer av digitala tjänster och vissa tillverkningsindustrier.

 

Från NIS1 till NIS2: Viktiga förändringar

1.    Utökat omfång och fler sektorer: NIS1 omfattade ett begränsat antal samhällsviktiga sektorer som energi, transport och hälso- och sjukvård. NIS2 breddar detta till att omfatta fler sektorer, inklusive tillverkning, digitala tjänster och leverantörskedjor.
 

2.    Strängare krav på säkerhet: Med NIS2 ställs högre krav på företagen att säkerställa skyddet av sina nätverk och informationssystem. Detta innefattar inte bara tekniska åtgärder, utan även tydliga rutiner för riskhantering och incidentrapportering. Alla nivåer inom organisationen måste vara involverade i säkerhetsarbetet.
 

3.    Ledningens ansvar: NIS2 understryker att ansvaret för cybersäkerhet ligger på ledningsnivå. Det är inte längre enbart en fråga för IT-avdelningen utan en strategisk affärsfråga som ledningen måste engagera sig i. Det ställs krav på att företagets ledning har insikt i och tar ansvar för säkerhetsåtgärder, vilket är en markant skillnad från NIS1.
 

4.    Incidentrapportering: En nyckelkomponent i NIS2 är den utökade rapporteringsskyldigheten vid säkerhetsincidenter. Företag måste rapportera incidenter som påverkar tillgången till eller säkerheten av deras system inom specifika tidsramar, vilket kräver tydliga processer för incidenthantering.
 

5.    Säkerhet i leverantörskedjan: Direktivet ställer även krav på säkerheten i hela leverantörskedjan. Det innebär att företag inte bara behöver säkra sin egen verksamhet utan också säkerställa att deras leverantörer och partners uppfyller höga säkerhetsstandarder.

 

Status och utredning av NIS2 i Sverige

För att genomföra NIS2 i Sverige tillsatte regeringen en särskild utredning i februari 2023, med uppdrag att anpassa svensk rätt till de nya direktivkraven. I utredningen presenterades ett delbetänkande (SOU 2024:18) som föreslår att NIS2 ska genomföras i Sverige genom en ny lag benämnd cybersäkerhetslagen. Utredningen föreslår en ny tillsynsstruktur där olika myndigheter får ansvar för tillsyn inom sina respektive sektorer. Målet är att den nya lagen ska träda i kraft den 1 januari 2025. 

 

Följderna av att inte följa NIS2-direktivet

Vid sidan av att man utsätter sin organisation för en större risk för dataintrång och cyberattacker och konsekvenserna av dessa, så är effekterna av att inte följa NIS2 är både juridiska och finansiella. Böternas storlek avgörs av hur allvarlig överträdelsen är och storlek på företag.  

Vad behöver organisationer göra redan nu?

För att förbereda sig för NIS2-direktivet bör företag redan nu agera proaktivt. Först och främst är det viktigt att ta reda på om verksamheten omfattas, direkt eller indirekt, av direktivet eller cybersäkerhetslagen genom att identifiera om man verkar inom de sektorer som nämns och uppfyller övriga kriterier. Om företaget omfattas behöver man analysera vilka krav NIS2 ställer och skapa en handlingsplan för att åtgärda eventuella brister i säkerhetsrutiner och system. Dessutom bör man ställa tydliga krav på både nya och befintliga leverantörer för att säkerställa att hela leverantörskedjan uppfyller direktivets säkerhetskrav. Genom att förbereda sig i god tid kan företag undvika potentiella sanktioner och minimera säkerhetsrisker i en alltmer digitaliserad värld.

 

Sammanfattning

NIS2 representerar ett skifte i hur företag måste arbeta med säkerhet. Det är inte en certifiering av produkter utan en lagstiftning som påverkar hela verksamheten och kräver ett helhetsgrepp på säkerhetsfrågor. För RCO Security och våra kunder innebär detta att säkerhet ska vara integrerat i allt vi gör, från produktutveckling till dagliga rutiner och processer.