NIS2 direktivet
Vår guide för NIS2 direktivet
Vad är NIS2 direktivet och den nya Cybersäkerhetslagen?
I takt med att cyberhoten ökar och blir allt mer sofistikerade, tar EU stora steg för att stärka säkerheten hos organisationer som är avgörande för samhällets funktion. Det nya NIS2 direktivet ersätter det tidigare NIS1 och innebär en bredare och strängare reglering, med syfte att skydda kritisk infrastruktur och säkerställa ett säkrare digitalt Europa.
Vad är NIS2 direktivet?
NIS2 direktivet omfattar fler organisationer än sin föregångare och ställer högre krav på både säkerhet och ansvarsutkrävande. Banker, energiföretag och vattenförsörjning är fortsatt i fokus, men även mindre aktörer som indirekt påverkar dessa samhällsviktiga tjänster inkluderas. Detta innebär att både stora och små företag måste anpassa sig för att uppfylla direktivets krav, ofta genom avtal med sina kunder.
Varför är NIS2 viktigt?
Cybersäkerhet är idag inte bara en teknisk fråga – det är en kritisk del av företagsledningen. Över två tredjedelar av alla cyberincidenter beror på den mänskliga faktorn, vilket gör utbildning och medvetenhet till en central del av NIS2. Direktivet kräver att organisationer:
- Implementerar robusta säkerhetsramverk.
- Säkerställer tydliga avtal och krav i leverantörskedjan.
- Utbildar personal och bygger interna mekanismer för att förebygga attacker.
Vad händer om man inte följer NIS2?
Ledningen har fullt ansvar för att direktivet efterlevs. Bristande hantering kan leda till böter på upp till 10 miljoner euro eller 2 % av den globala omsättningen – beroende på vilket belopp som är högst. Dessutom kan individer i ledande roller hållas personligt ansvariga, vilket i extrema fall kan innebära näringsförbud.
När träder NIS2 i kraft?
I Sverige implementeras NIS2 direktivet genom den nya Cybersäkerhetslagen (CSL) som förväntas träda i kraft någon gång i Q3 eller Q4 2025.
En viktig förändring för hela leverantörskedjan
Genom NIS2 ställs inte bara krav på organisationerna själva, utan även på deras leverantörer. Företag måste kunna visa att hela deras leverantörskedja uppfyller direktivets krav, vilket innebär att även mindre leverantörer kan omfattas indirekt.
Vad måste ni göra nu?
Organisationer som omfattas av NIS2 behöver redan idag börja:
- Kartlägga risker: Identifiera potentiella säkerhetsluckor och ta fram en plan.
- Bygga interna system: Förbättra mekanismer för brandväggar, incidenthantering och penetrationstestning.
- Säkerställa utbildning: Informera och utbilda personalen för att minska riskerna.
NIS2 direktivet är inte bara en utmaning – det är en möjlighet att stärka ert företags säkerhet, skapa förtroende hos kunder och bidra till ett säkrare samhälle. Ta steget redan idag för att säkerställa att ni är redo när direktivet träder i kraft.
De omfattas av NIS2 direktivet
Då omfattas ni: Träffas av 1 sektor, omsätter >100 msek eller har minst 50 anställda.
Alla offentliga enheter omfattas och om man som privat aktör träffas av minst 1 sektor där man omsätter över 100 msek eller har över 49 anställda, då omfattas man.
Exempel: Återvinningsföretag träffas av sekorn (”Avfall & Återvinning”). De omsätter 90 miljoner men har 51 anställda. Då omfattas de eftersom att de träffas genom två punkter.
Exempel: Fintech bolag träffas av sektorn (”Bank & Finans”). De omsätter 150 miljoner men har bara 14 anställda. Då omfattas de eftersom att de träffas genom två punkter.
Sektorer som omfattas av NIS2 direktivet:
– Bank & Finans
– Energi & Vatten
– Transport
– Registrerade Vårdgivare
– Alla Kemföretag
– DNS-tjänster
– Tillverkningsindustrin
– Avfall- & Återvinning
– Forskning & Rymden
– Livsmedel (Från produktion till grossist och butik)
– IKT tjänster
– Post, Bud & transport
– Luft och sjöfart
– Båtvarv
– Tillverkning av delar till fordon, luft- och sjöfart
Grundkraven: Indirekt omfattning
Indirekt omfattning är oerhört omfattande. Alla leverantörer som är viktiga för den organisationen som omfattas av NIS2 (Privata och offentliga) ska ställa samma krav nedåt i sin leverantörskedja. Alltså kommer även vanliga leverantörer också att omfattas av NIS2 direktivet.
Denna omfattning kommer inte ske genom lagen utan genom avtal. Det är ledningens ansvar inom den verksamheten som omfattas att se till att alla viktiga leverantörer följer och lever upp till kraven inom NIS2 direktivet.
De viktiga leverantörerna ska rapportera i enlighet med NIS2 direktivet till sin beställare, så att beställaren som omfattas av lagen och NIS2 direktivet kan skapa en samlad bild över sin verksamhet löpande när revisioner enligt lagen ska utföras.
Vilka krav ställer NIS2 direktivet?
Ledningens ansvar & utbildning
Utse en dedikerad grupp som leds av ledningen. Kombinera detta med den personalen som hanterar mycket av era ISO eller GDPR frågor. (Exempelvis VD, ekonomi, HR & IT)
Om vår tjänst: Vårt system gör det enkelt att skapa arbetsgrupper, notiser och den strukturen som ni behöver och vill få på plats, i ett modernt system
————————————————————————————
Incidentrapportering enligt NIS2-kraven.
Förtydliga era vägar för rapportering enligt kraven om 24 tim, 72 tim och slutrapport inom 1 månad.
Om vår tjänst: Vårt system är helt förberett med rapporteringsvägar, oavsett om man ska rapportera till myndigheter eller samarbetspartners.
————————————————————————————
Säkra leverantörskedjan
Alla viktiga leverantörer som er verksamhet drivs tack vare (I stor eller liten del) måste följa NIS2 direktivet. Dessa ska kunna visa hur dom följer direktivet så att ni får en samlad bild där ni även kan rapportera till myndigheter.
Om vår tjänst: Vårt system är kostnadsfritt för mindre leverantörer och organisationer som ska följa NIS2 direktivet.
————————————————————————————
Kontinuitet och krishantering
Genom ramverk ska ni se över backups, lösenordshantering, säkerhetsmekanismer och hur ni agerar när en incident eller attack skulle inträffa hos er, eller hos en viktig leverantör. Anta dom ramverken som är viktiga för er, både internt men också externt.
Om vår tjänst: Vårt system har de +40 vanligaste ramverken redo att använda. Dessa redigerar ni enkelt utefter er information, där de publiceras och delas med länk eller i PDF, direkt från systemet.
————————————————————————————
Extern insyn och rapportering utan dröjsmål
Arbetet inom NIS2 ska tåla granskning året om, man ska också rapportera till myndigheter och beställare. Därför räcker det inte med en policy, utan nu ska man kunna visa hur man arbetar med varje del i företaget, från hårdvara till mjukvara. Detta görs genom nödvändiga ramverk, riskanalyser, avgränsningar m.m.
Om vår tjänst: Genom att samla allt för er regelefterlevnad (GDPR & NIS2) så kan ni på ett klick extrahera ut enskilda eller totala rapporter på ett klick. Från rapportering av enskilda system eller processer, till en komplett samlad rapport från alla era nuvarande system, leverantörer och aktiva processer.
————————————————————————————
Årlig revision
Dom som omfattas ska utföra en årlig NIS2 revision, detta innebär att man ska granska alla interna och externa processer och informationsflöden. Dom viktiga leverantörerna ska rapportera i god tid innan den egna revisionen utförs, det är viktigt att analysera eventuella förändringar internt och externt, där man genom en riskanalys (DPIA) kan visa på ev. skillnader.
Om vår tjänst: Genom att samla leverantörerna i systemet, där alla leverantörer får använda systemet kostnadsfritt kan ni strömlinjeforma er hantering internt och externt. Ni kan ställa in notiser för informationsinhämtning och dela uppdrag med kollegor eller konsulter. På så vis får ni ett helikopterperspektiv där allt inom er regelefterlevnad blir lättöverskådligt. Genom revision-funktionerna hittar ni enkelt eventuella skillnader från tidigare år, där ni enkelt utför en ny risk- och konsekvensanalys direkt i den enskilda leverantörens sektion i systemet.
————————————————————————————
Säkerhetsmekanismer
Dom som omfattas av NIS2 direktivet ska förtydliga eller implementera vilka säkerhetsfunktioner som finns, hur man arbetar med behörigheter, tillgång, avslut av personal, brandväggar, kryptering, datalagring. Men man bör också införa ett system som proaktivt och resolut agerar eller varnar om något skulle inträffa.
Om vår tjänst: I systemet lägger ni enkelt till säkerhet i er hård- eller mjukvara, samtidigt som systemet dygnet runt övervakar läckor från er verksamhet och hos tredje part. Om en läcka eller en träff baserat på ert domännamn, företagsnamn eller de anställdas e-postadresserna skulle hittas, då får ni direkt notiser i alla era enheter.
Hur följer jag NIS2 direktivet?
1. Ledningens ansvar och utbildning
Etablera en arbetsgrupp: Samla ledningen och nyckelpersoner från IT och GDPR för att ansvara för NIS2-arbetet.
Skapa tydliga rutiner: Definiera en strukturerad plan för att arbeta igenom alla NIS2-krav, steg för steg.
Informera leverantörer: Kommunicera med era leverantörer om de nya kraven och hur de kan påverkas.
Om vår tjänst: Med vårt system kan ni enkelt skapa arbetsgrupper och följa framsteg för varje steg. Systemet tillhandahåller färdiga mallar för rutiner och automatiserade notifieringar som säkerställer att alla är informerade om vad som behöver göras och när.
——-——-——-——-——-——-——-——-——-——-——-——-
2. Incidentrapportering enligt NIS2-kraven
Utveckla en incidentpolicy: Definiera hur incidenter ska identifieras, rapporteras och hanteras.
Kommunicera policyn: Säkerställ att alla leverantörer och berörd personal förstår sina roller och ansvar vid en incident.
Om vår tjänst: Vårt system hanterar incidentrapportering genom att samla all nödvändig information i en central plattform med färdiga formulär för rapportering där de enkelt exporteras ut i PDF – Helt enligt NIS2 kraven (24h, 72h & 1 mån rapporter).
——-——-——-——-——-——-——-——-——-——-——-——-
3. Säkra leverantörskedjan
Inventera era leverantörer: Skapa en översikt av alla leverantörer, både fysiska och digitala. Identifiera vilka som är kritiska för verksamhetens drift och säkerhet.
Analysera risker: Bedöm vilka leverantörer som hanterar känsliga data eller har stor påverkan på er verksamhet.
Utför en riskanalys: Genomför en konsekvensanalys för de leverantörer som är viktiga och hanterar hög risk.
Ställ tydliga krav: Utforma en policy med krav och riktlinjer som leverantörerna behöver följa.
Om vår tjänst: Med vårt system kan ni automatiskt kartlägga alla era leverantörer, identifiera risker och skapa riskanalyser på några minuter. Systemet har även över 500 av de vanligaste leverantörerna färdigt i systemet, vilket minimerar ert nuvarande och löpande arbete i NIS2 frågan. Om en leverantör uppdaterar något så uppdateras det i systemet där ni får en notis. Systemet genererar standardiserade policies, rapporter och skickar dem direkt till leverantörer eller myndigheter, vilket förenklar hela processen och säkerställer att ni följer direktivet.
——-——-——-——-——-——-——-——-——-——-——-——-
Kontinuitet och krishantering
Definiera nödvändiga ramverk: Identifiera vilka säkerhetsramverk som behöver implementeras.
Anpassa avtal: Utforma avtal och krav som passar era tjänster och leverantörer.
Planera för kriser: Säkerställ att ni har backup- och återställningsplaner för kritiska funktioner.
Om vår tjänst: Vårt system erbjuder färdiga ramverk som ni enkelt kan anpassa och implementera. Det hjälper er att automatisera krishanteringsplaner och säkra att alla avtal och rutiner finns samlade och lättillgängliga. Alla avtal, ramverk och policys kan extraheras till PDF, eller delas per länk direkt genom systemet.
——-——-——-——-——-——-——-——-——-——-——-——-
Extern insyn och rapportering utan dröjsmål
Effektivisera informationshantering: Skapa rutiner för att extrahera och dela relevant information internt och externt.
Ställ krav på leverantörers rapportering: Definiera hur leverantörer ska rapportera inför revisioner. Säkerställ att leverantörer rapporterar incidenter snabbt och korrekt.
Implementera övervakningssystem: Se till att både ni och era leverantörer aktivt förebygger och upptäcker incidenter.
Om vår tjänst: Med vårt system kan ni samla in och strukturera information från alla leverantörer. Systemet säkerställer att rapporter levereras och samlas in automatiskt och att insynen är enkel för både interna och externa granskningar. Allt material kan enkelt rapporteras vidare.
——-——-——-——-——-——-——-——-——-——-——-——-
Årlig revision
Planera leverantörernas rapportering: Definiera när och hur leverantörer ska rapportera sin NIS2-status.
Skapa ett årshjul: Utforma en detaljerad plan som tydliggör ansvar och deadlines.
Fördela uppgifter: Se till att alla berörda parter vet sina roller inför revisionen.
Utför revisionen: Identifiera brister, analysera skillnader och dokumentera förbättringsåtgärder.
Om vår tjänst: Med vårt system kan ni skapa ett årshjul som automatiserar deadlines och ansvarsfördelning. Systemet underlättar hela revisionsprocessen med mallar, automatiska notifieringar och samlad dokumentation.
——-——-——-——-——-——-——-——-——-——-——-——-
Säkerhetsmekanismer
Kartlägg säkerhetsåtgärder: Dokumentera och utvärdera era brandväggar, nätverk och andra säkerhetsfunktioner.
Inför MFA: Säkerställ att multifaktorautentisering används för alla viktiga system.
Använd säkra lösenord: Implementera rutiner för att använda unika och arbetsrelaterade lösenord.
Övervaka säkerheten: Använd ett system som aktivt övervakar läckor och incidenter.
Kravställ på leverantörer: Säkerställ att era viktiga leverantörer följer samma säkerhetskrav.
Om vår tjänst: Vårt system möjliggör realtidsövervakning och identifierar snabbt sårbarheter, läckor och incidenter från er verksamhet men också från några av världens största system och databaser. Om något skulle ha läckt från er verksamhet eller personal i forma av inloggninguppgifter och data, då får ni notiser direkt.