En viktig milstolpe nåddes den 10 november 2022 när Europaparlamentet antog NIS2, vilket avslutade lagstiftningsprocessen. Förordningen godkändes sedan av ministerrådet och offentliggjordes i EU:s officiella tidning den 27 december 2022 och trädde därefter i kraft den 16 januari 2023. Svenska aktörer som omfattas har fram till den 18 oktober 2024 på sig att uppfylla kraven.
Växande cyberhot samt nya lagar och regleringar gör att allt fler organisationer förbereder sig för och hantera en cyberkris på ett effektivt sätt. Under de senaste åren har vi noterat att cyberattacker mot kritisk infrastruktur har ökat över hela världen. Dessutom gjorde omställningen till distansarbete under pandemin att nya risker uppstod, vilket bland annat resulterade i en ökning av antalet personer som råkade ut för phishing-attacker. Med den nuvarande geopolitiska situationen har risken att utsättas för cyberattacker ökat ytterligare, särskilt för organisationer som tillhandahåller väsentliga eller viktiga tjänster som kan bli måltavlor under hybridkrigföring.
NIS2 har som mål att stärka organisationers förmåga att hantera nya cyberhot, och dessa förändringar kan leda till en stor omställning med nya arbetssätt för de organisationer som tidigare inte arbetat systematiskt med informationssäkerhet.
Beroende på din organisations mognad och det aktuella omvärldsläget ser vi nedanstående aktiviteter som prioriterade för att skydda kritisk infrastruktur samt efterleva NIS2:
Detta kommer att resultera i en förbättrad cybermognad inom organisationen. Innan myndigheter påbörjar tillsynen av efterlevnad av NIS2-kraven finns det momentum för organisationer att stärka sin cybersäkerhet.
Överväganden för organisationer som omfattas av NIS2
Om din organisation tillhandahåller samhällsviktiga tjänster eller kritisk infrastruktur, kan organisationen klassificeras som en "väsentlig entitet" eller "viktig entitet" enligt NIS2. Följande sektorer omfattas av NIS2 (sektorer i ljusgrönt och mörkblått omfattas redan av NIS1):
(a) strategier för riskanalys och informationssystemens säkerhet
(b) incidenthantering
(c) driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering
(d) säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer
(e) säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation
(f) strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet
(g) grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
(h) strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering
(i) personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
(j) användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem
Vidare kommer tillsynsmyndigheterna att ha en avgörande och aktiv roll i tillsynen av att dessa åtgärder implementerats på ett ändamålsenligt vis. Vad kan hända om en väsentlig eller viktig enhet inte uppfyller kraven?
För att kunna hantera cyberhot bör styrelse och ledning skapa en (eller förbättra befintlig) cybersäkerhetsstrategi för att anpassa, utveckla och förbättra organisationens förmåga att hantera cyberattacker. Vi har identifierat 3 fokusområden som strategin bör inkludera för att efterleva NIS2-direktivet:
Styrning
Incidenthantering
Infrastruktur- och systemsäkerhet
Sedan covid-19-pandemin har cyberhoten utvecklats snabbt. Europeiska kommissionen har därför föreslagit att EU:s direktiv om säkerhet för nätverks- och informationssystem (NIS-direktivet) ska ersättas av NIS2 för att harmonisera och förbättra cybersäkerheten inom alla EU:s medlemsstater. NIS2-direktivet träder i kraft i oktober 2024 och ställer hårdare krav på ett större antal organisationer jämfört med NIS1. Det övergripande syftet med lagstiftningen är att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. NIS2 har tre allmänna mål: