Hur vi löser utmaningarna och säkerställer att er organisation är compliant med NIS2
Det första NIS-direktivet trädde i kraft i Sverige under 2018 genom lag (2018:1174) respektive förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
Syftet med NIS-direktivet är att höja informations- och cybersäkerheten i unionen genom att reglera en basnivå av säkerhet för samhällsviktiga- och vissa digitala tjänster.
Krav på att åtgärda risker
Den svenska NIS-regleringen kräver bland annat att de berörda organisationerna genomför åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem samt att man minimerar påverkan av incidenter i dessa. Om en incident ändå inträffar, måste de rapportera den till Myndigheten för samhällsskydd och beredskap (MSB). Målet med de krav som ställs är att undvika störningar på verksamheter som är viktiga för samhället.
NIS2 och förberedelser inför hösten 2024
Under slutet av 2022 beslutade EU om en uppdatering av NIS-direktivet som kallas för NIS2. Medlemsländerna har nu 21 månader på sig att implementera NIS2 i sin nationella lagstiftning innan direktivet börjar gälla för hela EU, vilket sker under hösten 2024. Eftersom NIS2 är en uppdatering av det ursprungliga NIS-direktivet kommer kraven som ställs i NIS-direktivet i stort att kvarstå men kompletteras med bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen.
NIS2 kommer även att inkludera fler sektorer, till exempel livsmedelsproduktion och offentlig förvaltning, samt striktare tillsynsåtgärder. Målet är att ytterligare öka säkerheten och förbättra samarbetet mellan EU-länderna. Om organisationer inte uppfyller kraven i NIS2 kan de drabbas av sanktionsavgifter. Det är därför viktigt för organisationer att förbereda sig och vidtar nödvändiga åtgärder för att uppfylla kraven i NIS2.
Några av kraven som behöver uppfyllas är:
- Strategier för riskanalys
- Incidenthanteringsplan
- Planer för verksamhetskontinuitet
- Säkerhet vid anskaffning, utveckling och förvaltning
- Policy och rutiner för att bedöma säkerhetsåtgärder
- Utbildning i informationssäkerhet
- Åtkomstpolicy och hantering av tillgångar
- Multifaktorautentisering
- Kryptering och kryptografi
- Säkerhet i leveranskedjan
ISO 27001 bra grund för NIS2
För att uppfylla kraven i det första NIS-direktivet menar MSB i sina föreskrifter (MSBFS 2018:8) att varje leverantör ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna ISO 27001 och ISO 27002 eller motsvarande. Standarden säkerställer att arbetet kan bedrivas resurseffektivt och att organisationen kan integrera arbetet med informationssäkerhet i den interna styrningen och kontrollen. Då NIS2 är en uppdatering av det första NIS-direktivet är det sannolikt att ett arbetssätt enligt ISO 27001 kommer att vara en bra grund för att efterleva kraven även i NIS2.
Våra rådgivare arbetar med ledningssystem för informationssäkerhet och har stora kunskaper om NIS2-direktivet, både från berörda organisationer och genom rådgivare med bakgrund från ansvariga myndigheter. Vi följer såväl arbetet med det nuvarande NIS-direktivet som utvecklingen av NIS2 och har både genomfört webbinarier och skrivit artiklar på ämnet. Secify har även en bred erfarenhet av att hjälpa organisationer att implementera ISO 27001 och genom detta få en bra grund för att efterleva kraven i NIS och NIS2.
Kontakta oss om du vill veta mer om hur vi kan hjälpa dig med NIS2
