NIS2 ställer högre krav på cybersäkerhet
EU:s nya direktiv NIS2 gäller alla företag och kommer att träda i kraft 2025 – därför är det viktigt för företag att redan nu identifiera luckor de kan tänkas ha vad gäller cybersäkerhet. Företag kan nämligen riskera höga sanktionsavgifter om de inte lever upp till kraven.
Vad är NIS2?
Sammanfattningsvis avser NIS2 till att förbättra cybersäkerheten genom att ställa högre krav på företag att vidta proaktiva åtgärder och rapportera incidenter. Syftet med NIS2-direktivet är att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. EU stramar åt direktiven och kraven på cybersäkerhet då de gamla kraven, NIS1, inte längre lever upp till den nivå av säkerhet som krävs idag – vilket kommer att bidra till en säkrare digital miljö inom EU.
Sex områden att ha koll på
Direktivens specifika mål är att förbättra säkerheten för nätverk och informationssystem. På så sätt skyddas kritisk infrastruktur, väsentliga tjänster och andra enheter från cybersäkerhetshot. Direktivet ställer även tydligare krav på ledningens deltagande i cybersäkerhetsarbete. Det är främst sex områden som behöver adresseras och dessa är:
Riskbedömning: Företaget ska bedöma säkerhetsrisker som är förknippade med deras tjänster och genomföra lämpliga åtgärder för att hantera dessa.
Säkerhetsåtgärder:Företaget ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina nätverk och informationssystem, exempelvis genom säkerhetstestning.
Leverantörssäkerhet:Företaget ska säkerställa säkerhet i hela leveranskedjan genom hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer.
Incidenthantering:Berörda verksamheter ska ha en plan för hur potentiella cybersäkerhetsincidenter ska hanteras och hur tjänsterna kan återställas så snabbt som möjligt.
Incidentrapportering:Berörda verksamheter ska rapportera allvarliga säkerhetsincidenter till den nationella myndigheten för cybersäkerhet så snabbt som möjligt.
Samarbete:Berörda verksamheter ska samarbete med nationella myndigheter för cybersäkerhet och andra tjänsteleverantörer för att hantera incidenter och utbyta information om hot och sårbarheter.
Processer och utbildning är A och O
Säker och robust infrastruktur på företaget är viktigare idag än någonsin då cyberattacker blir fler och större varje dag. Vi på Telia har lång erfarenhet av att hjälpa företag att förbättra säkerheten med tjänster som DdoS Protection Light och Acronis Cloud Backup. Vi kan även hjälpa till med att utbilda personal med tjänsten SAT (Security Awareness Training), interaktiva mikroutbildningar kring cybersäkerhet. Två till tre gånger i månaden skickas en ny kurs till medarbetarna, och varje kurs tar mellan tre och fem minuter att genomföra. För för tillfället finns SAT endast för kunder som har avtal med IT-Support Premium.
Fakta om NIS2
NIS2 bygger på sin föregångare NIS1 från 2016. NIS står för Network and Information and Security.
Alla företag och organisationer i EU har fram till oktober 2024 att implementera de nya direktiven. NIS2 väntas träda i kraft den 1 januari 2025.
Direktiven berör processer och strategier kring cyber- och informationssäkerhet.
De som inte följer NIS2 riskerar att ekonomiska följder baserat på omsättning.
NIS2 är nya direktiv från EU vars syfte är att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen.
NIS2 omfattar verksamhet inom följande 18 sektorer:
Energi
Transporter
Bankverksamhet
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Dricksvatten
Avloppsvatten
Digital infrastruktur
Förvaltning av IKT-tjänster (mellan företag)
Offentlig förvaltning
Rymden
Post- och budtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Produktion, bearbetning och distribution av livsmedel
Tillverkning (medicinska produkter)
Digitala leverantörer
Forskning
NIS2-direktiven väntas träda i kraft den 1 januari 2025.