Förslag om nytt direktiv - NIS 2

Ett förslag har presenterats gällande ett nytt direktiv, vilket har utvecklats från NIS-direktivet - detta nya föreslagna direktiv kallas NIS 2. NIS 2 har ett antal tillägg och kommer att påverka fler sektorer och företag än det ursprungliga NIS-direktivet.

Vad är NIS-direktivet?

Direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Läs mer om NIS-direktivet här! 

Förslag om nytt direktiv - NIS 2

Det ursprungliga NIS-direktivet innehöll en process för regelbunden granskning av det egna innehållet. Detta har lett till ett föreslaget direktiv för länder i EU om åtgärder för en hög gemensam cybersäkerhetsnivå - detta kallas NIS 2. När det nya förslaget antagits, har medlemsstaterna i EU 18 månader på sig att tillämpa det nya NIS 2-direktivet.

NIS 2 innehåller aspekter som åtgärdar brister i det ursprungliga NIS-direktivet. Följande brister upptäcktes:

• Företag i EU har inte tillräcklig cyberresiliens (cyberresiliens är motståndet mot en möjlig cyberattack, men även hur företag kan vidhålla sin kapacitet under en attack och hur väl de kan återgå till normal kapacitet efter en attack)
• Cyberresiliensen mellan medlemsstater och sektorer är inte konsekvent
• Det finns inte tillräcklig förståelse bland medlemsstaterna om nuvarande hot och utmaningar, dessutom finns ingen gemensam krishantering

Vad är nytt med NIS 2?

Baserat på dessa brister har nya tillägg gjorts, vilket resulterat i det nya förslaget NIS 2. Dessa är de mest framträdande tilläggen:

• Nya sektorer (lista längre ner)
• Högre krav på säkerhet och rapportering, där en lista med minimumkrav måste uppfyllas
• Säkerhet för leverantörskedjor och leverantörer
• Striktare tillsynsåtgärder för nationella myndigheter
• Skillnaden mellan ”operators of essential services” och ”digital service providers” har tagits bort
• Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav
• Harmonisera sanktionssystem mellan medlemsstaterna och möjliggöra administrativa viten
• Cooperation Group får en större roll, samt ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter

Fler sektorer och företag påverkas av NIS 2

Nya sektorer har lagts till baserat på hur viktiga de är för samhället och ekonomin, och dessutom så kommer fler företag inom varje sektor att påverkas.

I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymden.

Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.

Alla stora och medelstora företag från dessa sektorer inom EU blir nu påverkade. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets profil.

Kommer du att påverkas av NIS 2?

När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. Genom att identifiera verksamhetens viktigaste informationstillgångar kartläggs också vilka åtgärder som behöver vidtas i prioriteringsordning.

Se vår guide för hur du gör en säkerhetsskyddsanalys!

Behöver ni hjälp? Tveka inte att kontakta oss på Advenica!