NIS2: En guide till det nya EU-direktivet för cybersäkerhet
NIS2 är det nya EU-direktivet för cybersäkerhet som trädde i kraft i oktober 2024. Det kan beskrivas som IT-säkerhetens motsvarighet till GDPR – en tydlig signal om att cybersäkerhet inte längre är en valmöjlighet, utan ett krav.
Precis när många företag började känna sig bekväma med GDPR kommer nu ett nytt regelverk. “Igen…” kanske du tänker, men detta är en möjlighet att stärka ditt företag.
En robust cybersäkerhetsstrategi kan inte bara skydda verksamheten, utan också skapa förtroende hos kunder och partners.
I den här artikeln förklarar vi vad direktivet innebär och belyser de viktigaste punkterna.
Vad är syftet med NIS2?
EU har utarbetat NIS2 för att höja den gemensamma cybersäkerhetsnivån inom unionen. Genom att ställa högre krav på både stora och små aktörer vill direktivet skapa ett mer motståndskraftigt digitalt ekosystem och skydda samhällsviktiga tjänster mot cyberhot.
Hotbilden är tydlig: små och medelstora företag har ofta svagare skydd än större aktörer och blir därför attraktiva måltavlor för hackare. Genom dem kan cyberkriminella få åtkomst till större företag eller samhällskritisk infrastruktur. NIS2 syftar till att bryta denna kedja.
Vem omfattas av NIS2?
NIS2 gäller för företag och organisationer inom samhällsviktiga och kritiska sektorer. Bland de berörda finns:
- Banker
- Energi
- Transport
- Vatten och avlopp
- Hälso- och sjukvård
- Offentlig förvaltning
- Rymdindustrin
- Digitala tjänster som molnleverantörer och datacenter
Företag med fler än 50 anställda eller en årlig omsättning på över 10 miljoner euro omfattas direkt. Även mindre företag kan påverkas om de är en del av kritiska leveranskedjor.
Misslyckas ditt företag med att efterleva NIS2 kan konsekvenserna bli stora. En verksamhet kan få böter på upp till 10 miljoner euro eller 2% av företagets globala årsomsättning.
Vad kräver NIS2?
NIS2 skärper kraven på företagens cybersäkerhet och ställer särskilda krav inom tre områden:
Riskhantering
- Företaget måste ha system för att identifiera, hantera och rapportera risker
- Leverantörsstyrning och bedömning av risker i värdekedjan är också obligatoriskt
Rapportering och ledningens ansvar
- Incidenter som påverkar verksamheten kritiskt ska rapporteras till tillsynsmyndigheten inom 24 timmar
- En sammanfattande rapport ska lämnas inom 72 timmar och en slutrapport inom en månad
- Ledningen har ett personligt ansvar för att säkerställa efterlevnad och kan hållas ansvarig vid överträdelser
Efterlevnad och utbildning
- Företaget ska ha interna rutiner för utbildning i IT-säkerhet
- Medarbetare ska ha tillgång till information om åtgärder för att öka cybersäkerheten
- Det krävs planer för krishantering och för att säkerställa verksamhetens kontinuitet vid en incident
Så förbereder du ditt företag för NIS2
Precis som GDPR kräver NIS2 tid och resurser att implementera. Här är några steg du kan ta för att förbereda dig:
1. Gör en nulägesanalys
Kartlägg era nuvarande cybersäkerhetsrutiner och identifiera bristerna jämfört med kraven i NIS2.
2. Skapa en helhetsstrategi för cybersäkerhet
Säkerställ att IT-säkerheten är en del av verksamhetens övergripande strategi.
3. Utbilda ledning och personal
Involvera ledningen och säkerställ att alla medarbetare förstår sin roll i att skydda verksamheten.
4. Ta hjälp av experter
Implementering av NIS2 kan vara komplext. Ta hjälp av specialister för att säkerställa att ni möter kraven.
Vägen vidare med Upheads
NIS2 är här för att stanna, och kraven är omfattande. Men med rätt förberedelser kan ni stärka ert företag, skydda er verksamhet och bygga förtroende på marknaden.
Behöver du stöd för att komma igång? Kontakta oss så hjälper vi dig att analysera hur NIS2 påverkar din verksamhet och vilka åtgärder som krävs. Vi kan även vara med dig hela vägen för att säkerställa att ditt företag uppfyller alla krav i regelverket – tryggt och smidigt.
[ Önskar du hjälp med NIS2 för ditt företag? ]
Ta kontakt – vi hjälper dig gärna!
Trött på att fylla i formulär?
Du kan också ringa 040-626 75 00, måndag–fredag kl. 08-17, eller skicka ett mail till kontakt@upheads.se
Inspiration och kunskap direkt till din inkorg
Signa upp dig för vårt månatliga inspirationsbrev som ger dig tips, insikter och råd om nya arbetssätt, processer och säkerhet kopplat till Microsoft 365, Azure och olika verktyg i Microsofts molnplattform.