Vad är NIS2?

Vi kommer i en rad inlägg under de
närmsta veckorna belysa;

• vad NIS2 och CER är
• vilka branscher och organisationer som påverkas
• de krav som ställs
• hur din organisation kan möta kraven
• de stora ekonomiska konsekvenserna för din organisation om direktiven inte följs
• hur vi på Hyker Security kan hjälpa er

I detta inlägg går vi igenom punkt 1 och 2 – häng med och följ vår sida!

NIS2 är en förkortning av ”Network and Information Security Defense Directive” (nätverk och informationssäkerhets direktivet) och bygger på det tidigare EU direktivet, NIS1. NIS2 trädde i kraft redan 16:e januari 2023, men berörda branscher och organisationer har fram till oktober 2024 att leva upp till det nya regelverket. I Sverige pågår just nu en utredning kring hur direktivet ska införlivas i svensk lagstiftning. Utredningen väntas vara klar i slutet av februari 2024 varpå regeringen kommer fatta beslut.
I direktivet framgår att nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet som följd av den snabba digitaliseringen och sammankopplingen av samhället. Utvecklingen innebär en större sårbarhet mot cyberhot. Attackerna har, inte minst som en effekt av det rådande världsläget, utvecklats och blivit mer sofistikerade, omfattande och frekventa.

Syftet med NIS2 är att uppnå en hög gemensam cybersäkerhetsnivå inom EU. För att kritiska organisationer ska kunna dra nytta av den digitala omställningen med dess ekonomiska, sociala och hållbarhets mässiga fördelar, är beredskap och funktionalitet centralt inom cybersäkerhet.

CER står för ”Critical Entity Resilience” (kritisk entitets motståndskraft). CER-direktivet handlar om att säkerställa motståndskraften av samhällsviktig verksamhet, detta genom att förebygga, motstå och hantera störningar eller avbrott i verksamheten inom EU. Dessa kan ha uppstått på grund av olyckor, naturkatastrofer och hot mot folkhälsan. Men även andra hot där det finns en angripare, t ex vid terroristbrott, brottslig infiltration eller sabotage. I CER-direktivet ingår alltså INTE risker kopplade till cybersäkerhet eller hot från cyberattacker, detta hanteras i NIS2. CER sätts, likt NIS2, i kraft, oktober 2024.

De områden och organisationer som gemensamt omfattas av både NIS2 och CER är en utökning av NIS1 och innefattar nu;

Väsentliga:

• Energi
• transport (luft, räls, väg o sjötransport)
• bank och finansmarknadsinfrastruktur
• hälso- och sjukvård (forskning, produktion o vårdgivare)
• dricks- och avloppsvatten
• digital infrastruktur
• offentlig förvaltning och rymden

Viktiga:

• Post o paket
• avfallshantering
• kemikalier (produktion o distribution)
• livsmedel (produktion, och distribution)
• produktionsverksamhet (läkemedel, elektronik, optik, maskiner o fordon)
• digitala leverantörer (marknader, sökmotorer, sociala media)
• forskning o utveckling