NIS2 är på plats – vad behöver företag veta?

Till skillnad från det tidigare NIS-direktivet gäller NIS2 inte bara traditionellt samhällskritiska verksamheter. Nu omfattas även många medelstora och större företag inom exempelvis IT, digital infrastruktur, transport, tillverkning, livsmedel och logistik.

Även leverantörer och underleverantörer till dessa verksamheter kan påverkas.

För många organisationer innebär det här att cybersäkerhet för första gången blir en reglerad fråga som måste hanteras strukturerat.

Krav på ett mer systematiskt säkerhetsarbete

NIS2 ställer tydligare krav på hur organisationer arbetar med säkerhet. Det handlar inte bara om tekniska skydd, utan om ett kontinuerligt och riskbaserat arbete.

Exempel på vad som krävs är:

• regelbundna riskanalyser
  
  
• rutiner för incidenthantering
  
  
• kontinuitets- och återställningsplaner
  
  
• säkerhet i leverantörskedjan
  
  
• utbildning i säkerhetsmedvetenhet
  
  
• rapportering av allvarliga incidenter inom 24 timmar
  
  

Ledningen får ett tydligare ansvar

En viktig förändring är att ansvaret nu ligger högre upp i organisationen. Styrelse och ledning förväntas ha insyn i säkerhetsarbetet, fatta beslut kring åtgärder och säkerställa att organisationen har rätt kompetens och resurser.

Konsekvenser vid bristande efterlevnad

Organisationer som inte uppfyller kraven kan möta sanktionsavgifter, krav på åtgärder från tillsynsmyndigheter och i vissa fall även begränsningar i verksamheten. NIS2 gör det tydligt att cybersäkerhet är en central del av verksamhetsstyrningen.

Om ni ännu inte har påbörjat ert arbete med NIS2 är det hög tid att komma igång. På Gibon hjälper vi små och medelstora företag att förstå kraven och bygga ett säkerhetsarbete som håller över tid.