Nu är det bestämt! Igår 28 november klubbades beslutet om NIS-direktivet, version 2 som kommer att ställa betydligt högre säkerhetskrav på betydligt fler företag, myndigheter och organisationer, än det ursprungliga direktivet. Fler sektorer omfattas och de som slarvar kommer att bötfällas. Här ger Caroline Dristig, expert på informationssäkerhet på Conscia, sju konkreta tips för att klara omställningen till NIS2.
NIS-direktivet från EU ligger enkelt uttryckt till grund för nationell lagstiftning om informations- och nätverkssäkerhet. Det berör i sitt nuvarande utförande samhällsviktiga och digitala tjänster, inom både privat och offentlig sektor. Nu är det en ny version på gång, kallad NIS2, som kommer att bli betydligt striktare till sin utformning. Dessutom kommer fler sektorer och branscher att påverkas.
Version 2 har precis godkänts på EU-nivå, den kommer att offentliggöras i Europeiska unionens officiella tidning inom de närmsta dagarna. Direktivet kommer att träda i kraft 20 dagar efter offentliggörandet Därefter har EU-länderna 21 månader på sig att införa det i nationell lagstiftning. Ett stalltips är att det kommer ny svensk lagstiftning rörande informations- och nätverkssäkerhet inom två år.
Vi kan konstatera att syftet med NIS2 är lovvärt. I den moderna, allt mer digitaliserade, världen är det positivt med lagstiftning som är avsedd att förbättra säkerheten för individer, företag, myndigheter och andra organisationer, samt för samhället stort. Att det sker på EU-nivå är också positivt, förutsatt att direktivet blir vettigt utformat, vilket det finns alla förutsättningar för.
Grundproblemet för företag och andra organisationer är att sådan här lagstiftning kräver insatser, som kostar pengar, tar tid och kräver resurser i form av bland annat personal. Att många företag och andra ligger efter med informationssäkerhet är en försvårande omständighet. Likaså att de myndigheter som borde ha till uppgift att bidra till arbetet också ligger efter i en del fall.
Vad är det som är nytt med NIS2? Framför allt tre saker:
I) NIS2 mer likt GDPR – böter för den slarvige
NIS har på vissa håll upplevts som tandlöst, eftersom påföljderna för att bryta mot det inte varit så hårda. Det är slut med det nu. Med NIS2 införs böter som ser ut att hamna på två procent av omsättningen eller tio miljoner euro. Det är alltså inga struntsummor det är frågan om.
Tips 1: Det kan mycket väl bli billigare att investera i informationssäkerhet, än att betala NIS2-böter.
II) NiS-direktivet – nu även för soporna
Det ursprungliga NIS-direktivet omfattar sju sektorer: banker, digital infrastruktur, energi, infrastruktur för finansmarknaden, hälso- och sjukvård, leverans och distribution av dricksvatten, samt transporter. Nu utökas antalet sektorer rejält. Några exempel är avloppsvatten och avfallshantering, flyg- och rymdteknik, post- och kurirtjänster, hela kedjan av aktiviteter för hantering av livsmedel. Det är bara några exempel.
Tips 2: Kolla om den bransch du är verksam i påverkas av NIS2. Här finns ännu mer information.
III) Verksamhetens högsta styrande organ får större ansvar
Styrelsen ska på ”ett lämpligt sätt” upptäcka, förhindra och reagera på incidenter gällande IT-säkerhet. Riskbedömning ska ha gjorts och det ska finnas IT-säkerhetspolicy. Och, som grädde på moset, ska det säkerställas att nätverk och informationssystem är säkra. Det är en väldigt stor, och svårdefinierad, uppgift.
Tips 3: Om du har en roll som styrelseledamot eller chef är det läge att kolla vad NIS2 innebär för förändringar för dig.
Fler nyheter i NIS-direktivet:
Det finns en lång rad ytterligare åtstramningar i NIS2, till exempel att incidentrapportering måste göras inom 24 timmar, i stället för som tidigare 72 timmar. Det ställs vidare till exempel krav på kryptering.
Tips 4: Läs igenom texten för NIS2, eller i alla fall en sammanfattning från en trovärdig källa. Här finns mer information.
Storleken har betydelse i NIS-direktivet
Det är inte helt säkert (ursäkta) att ett företag inom en viss bransch kommer att omfattas av lagstiftning baserad på NIS2. Det beror i vissa fall på hur stort ett företag är (men om du jobbar på en stor koncern kommer ni så klart inte undan på grund av sådana regler). Information om undantagen från reglerna finns här.
Tips 5: Om du är tveksam, kontrollera om din arbetsgivare omfattas av NIS2.
NIS2 – inte bara företag i EU-länder
Att du jobbar från till exempel USA eller Norge ger inget frikort från NIS2. Direktivet, och efterföljande lagstiftning, kommer även att omfatta verksamheter som ligger utanför EU som levererar tjänster till ett EU-land.
Tips 6: Övertyga dina chefer utanför EU om att de faktiskt behöver ha koll.
Kämpa på med informationssäkerhet som vanligt
NIS2 kan självklart kännas överväldigande. Men glöm inte bort att det syftar till att förbättra och underlätta arbetet med säkerhet. Ett gediget arbete med informationssäkerhet är inte bara eftersträvansvärt i sig. Det kommer även att underlätta arbetet med anpassning till NIS2 i allra högsta grad.
Aktiviteter som inventering av informationstillgångar, klassificering av data, kryptering av den mest kritiska informationen, att använda multifaktorautentisering och att ha processer för riskhantering, affärskontinuitet och incidentrespons på plats har fortfarande högsta prioritet. (Se även vårt kostnadsfria whitepaper om den mänskliga faktor i din cybersäkerhet)
Tips 7: Pausa inte det vanliga säkerhetsarbetet för att ta i tu med NIS2.
Slutligen: Lite formalia
NIS-direktivet från 2016 omvandlades till Svensk lag och har varit gällande sedan 20 juni 2018. En uppdatering av NIS-direktivet version 2.0 (NIS2) är på gång, men arbetet har precis inletts i Sverige. Följande reglering gäller nu. Här är mer information. Det är verksamheten själv som ansvarar för att identifiera sig som en samhällsviktig tjänst under NIS, och att anmäla det till tillsynsmyndigheter.
