De som omfattas av NIS2 direktivet
Vilka omfattas av NIS2 direktivet? En komplett guide
NIS 2 direktivet är ett cybersäkerhetsdirektiv och ramverk som kommer omfatta tusentals privata företag i Sverige. Alla offentliga entiteter kommer att omfattas liksom små och medelstora företag som levererar viktiga tjänster till kunder som direkt omfattas.
organisationer omfattas direkt
organisationer omfattas indirekt
Då omfattas ni av NIS2 direktivet
Träffas ni av två delar ska ni följa NIS2
Alla kommunala enheter omfattas, för att omfattas som privat företag behöver man antingen träffas av två delar nedan, eller vara en viktig leverantör till en organisation som direkt omfattas av NIS2 direktivet. Den indirekta omfattningen kommer regleras genom avtal och inte lagkrav.
Har +49 anställda eller omsätter +100m/år.
Ingår i väsentliga eller viktiga entiteter
Indirekt omfattning
Viktiga leverantörer till de organisationer som omfattas av NIS2 direktivet omfattas också av NIS2. Detta beror på kravet inom NIS2 direktivet ("Säker leverantörskedja"). Dessa leverantörer ska rapportera enligt NIS2 direktivet till sina beställare. Rent tekniskt kommer leverantörerna inte omfattas i lag, men genom direktivet kommer dessa omfattas av NIS2 direktivet genom avtal. Det är beställaren och ledningens ansvar att följa leverantörernas arbete efter NIS2 direktivet.
Väsentliga entiteter
Särskilt för väsentliga entiteter är:
Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.
Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)
Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.
Viktiga entiteter
Särskilt för viktiga entiteter är:
Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.
Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)
Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.
När blir NIS2 lag i Sverige?
MSB presenterade information om tidslinjen för NIS2 direktivet. Dom tror att NIS2 direktivet blir gällande lag i Sverige någon gång under sommaren 2025.
SOU 2024:18 har just nu varit ute på betänkande där flertalet remissinstanser har lämnat sina svar baserat på dom delarna som är applicerbara för de olika instansrna.
Kraven inom NIS2-direktivet
Alla krav inom NIS2-direktivet
- 1. Incidentrapportering enligt NIS2-kraven: Färdiga rapporteringsvägar i vårt ISMS system
- 2. Ledningens ansvar & utbildning: Enhetligt system för alla delaktiga samt årliga utbildningar.
- 3. Säkra er leverantörskedja: Görs enkelt i vårt ISMS system
- 4. Kontinuitet och krishantering: Kontinuitet och kris genom ramverk i vårt ISMS system
- 5. Extern insyn och rapportering utan dröjsmål: Extrahera ut rapporter i vårt ISMS system
- 6. Årlig revision: Utför enkelt en årlig revision från leverantör till leverantör.
- 7. Säkerhetsmekanismer: Vårt ISMS-system hanterar era säkerhetsmekanismer och övervakar data.
Hur följer vi kraven konkret?
Incidentrapportering enligt NIS2-kraven
Organisationer som omfattas av NIS2-direktivet måste rapportera säkerhetsincidenter inom specifika tidsramar:
- Inom 24 timmar: Inledande rapport för att informera om att en incident inträffat.
- Inom 72 timmar: En mer detaljerad rapport med analyser och åtgärder.
- Inom 1 månad: Slutlig rapport som sammanfattar incidenten och vidtagna åtgärder.
Dessa tidsramar säkerställer snabb kommunikation och tydlighet gentemot myndigheter eller beställare.
Ledningens ansvar och personalutbildning
Det är avgörande att personal som har tillgång till kritiska delar av organisationen utbildas årligen för att minimera risken för incidenter.
- Årlig utbildning: Personalen ska utbildas i säkerhetspraxis och NIS2-krav.
- Motivering och dokumentation: Organisationen behöver motivera och dokumentera sitt val av utbildningsstrategi, samt säkerställa att den är tillräcklig för att minska risker kopplade till deras verksamhet.
Säker leverantörskedja
Leverantörernas säkerhetsnivå påverkar direkt er efterlevnad av NIS2. Därför måste ni:
- Kartlägga leverantörer: Identifiera vilka leverantörer ni är beroende av och vilka system de använder.
- Bedöma leverantörens säkerhet: Säkerställ att leverantörer uppfyller NIS2-krav genom att kartlägga deras cybersäkerhetsramverk och incidenthantering.
- Kontinuerligt övervaka: Inför mekanismer för att proaktivt och reaktivt hantera säkerhetsrisker i leveranskedjan.
En säker leverantörskedja är grunden för att möta direktivets krav och för att minimera externa säkerhetsrisker.
Kontinuitet och krishantering
Förberedelser för att hantera incidenter är avgörande för verksamhetens fortlevnad. Organisationer bör:
- Säkerställa backup-lösningar: Analysera och testa regelbundet.
- Planera för domänattacker: Identifiera och implementera skyddsmekanismer.
- Utveckla återställningsplaner: Beskriva tydligt hur IT-miljöer och operativa processer återställs efter incidenter.
Kontinuitet och krishantering stärker organisationens motståndskraft mot cyberhot och bidrar till snabb återhämtning.
Extern insyn och rapportering
Organisationer som omfattas av NIS2 måste upprätthålla transparens och tydligt visa hur de följer direktivet.
- Löpande dokumentation: Ni måste ha uppdaterade rapporter om er efterlevnad av NIS2.
- Aktivt arbete: Till skillnad från GDPR krävs inte bara policies utan faktiska åtgärder inom organisationen, inklusive processer och säkerhetslösningar.
En kontinuerlig insyn i säkerhetsarbetet stärker organisationens förtroende och säkerställer att externa krav uppfylls.
Årlig revision
Organisationer måste genomföra en årlig revision för att dokumentera och säkerställa att NIS2-kraven efterlevs. Revisionen bör innehålla:
- Interna och externa rapporter: Samla underlag från interna analyser och leverantörers säkerhetsrapporter.
- Utbildningsdokumentation: Visa att personalen har utbildats i enlighet med direktivet.
- Säkerhetsmekanismer: Dokumentera hur ni arbetar för att upptäcka, förhindra och förebygga incidenter.
Samla allt material i ett tydligt ramverk som förenklar kommande års arbete och revision.
Säkerhetsmekanismer
Organisationer måste ha säkerhetsmekanismer på plats för att möta NIS2-krav och skydda mot cyberhot. Exempel på sådana mekanismer inkluderar:
- Cyberhygien: Rutiner för lösenordshantering och regelbundna tester mot nätfiske.
- Systemövervakning: Brandväggar och intrångsdetektering för att identifiera och hantera hot.
- Notifieringar vid läckor: Implementera system som varnar om läckor från externa plattformar där er data kan finnas.
Genom att kombinera proaktiva och reaktiva åtgärder skapar ni ett starkt skydd mot cyberattacker och säkerställer efterlevnad av direktivet.
Konkreta tips
Organisationer som omfattas av NIS2 direktivet (Direkt eller indirekt) har mycket att tjäna på att anförskaffa ett användbart system som hanterar momenten inom NIS2 direktivet, både gällande strukturering av information, leverantörer och ramverk – men även inom rapportering till partners och myndigheter.
Att vårt system även hanterar övervakning av läckor hos 3e part genom en av världens största databaser är något som alltid ingår. Utan extra kostnad.