NIS2-direktivet – därför ska du bry dig som vd

Cybersäkerhet Du har säkert hört talas om det – men förstår du vad det är? NIS2 är snart här, och kommer att påverka näringslivet på nya sätt. Martin Snygg på MSB förklarar hur, och vad du som verksamhetsledare behöver göra.

NIS2-direktivet – därför ska du bry dig som vd
Foto: MSB

NIS2-direktivet är en uppdatering av EU:s första direktiv om nätverks- och informationssäkerhet (NIS), vilket syftar till att höja säkerhetsnivån för nätverk och informationssystem inom unionen. Det ska implementeras i Sverige under detta år (den 18 oktober enligt direktivet; den svenska utredningen föreslår 1 januari 2025).

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
VD-tidningen premium

Läs vidare – starta din prenumeration

  • Strategiska artiklar med tips och analyser.
  • 6 fullmatade magasin årligen.
  • Tillgång till premiumnyheter på vdtidningen.se.
  • 100 procents fokus på vd-rollen.
Redan prenumerant?

Målet med NIS2 är att förbättra cybersäkerheten och motståndskraften mot cyberattacker över sektorer som är avgörande för samhället och ekonomin, såsom energi, transport, vattenförsörjning, hälsovård, digital infrastruktur och leverantörer av offentliga tjänster.

För dig som företagsledare innebär NIS2 att ditt företag måste implementera striktare säkerhetsåtgärder för att skydda kritisk infrastruktur och data. Detta inkluderar riskhantering, incidentrapportering, och åtgärder för att säkerställa kontinuitet i verksamheten (se mer detaljerad information i faktaruta intill).

Fakta

Det innebär NIS2 för dig som företagsledare

För dig som företagsledare innebär NIS2-direktivet att din verksamhet kan komma att omfattas av nya striktare säkerhetskrav, vilket i sin tur innebär att du ansvarar för att säkerställa att ni ser över och förstärker er cybersäkerhet för att uppfylla kraven gällande riskhantering, incidenthantering, säkerhetsåtgärder och rapportering, och att tillsynsmyndigheter kommer att utöva tillsyn som riskerar att leda till sanktioner vid överträdelser. Även utbildning av ledning och personal kommer att kravställas för att berörd personal ska förstå kraven och deras betydelse för verksamheten och öka medvetenhet och engagemang.

Nya sektorer omfattas

MSB är nationell kontaktpunkt för NIS-regleringarna, vilket innebär att samordna myndigheter i Sverige och stötta tillsynsmyndigheterna, samt hålla kontakt med andra medlemsländer om det inträffar gränsöverskridanden incidenter.

– Det blir en grundläggande nivå av cybersäkerhet i samhällsviktig verksamhet. Säkerhetsskyddslagen gäller fortfarande för de mest kritiska delarna av samhällsviktig verksamhet. Det nya är att det nu blir mycket mer omfattande. Fler verksamheter omfattas, vilket är syftet att höja säkerhetsnivån i hela samhället, säger Martin Snygg, handläggare på enheten för strategi och samordning på MSB.

Fakta

Så här förbereder ni er för NIS2

Prio 1 – förstå om verksamheten omfattas av NIS2. Orientera er i regleringen, granska vilka sektorer som är inkluderade och vilka nya krav som ställs om antal anställda och omsättning. Tänk på att NIS2 även kommer att ställa krav på underleverantörer till företag som direkt omfattas av direktiven.

Omfattas ni? I så fall gäller följande:

  1. Anmäl er till tillsynsmyndigheten. Detta är viktigt för att säkerställa att ni är registrerade och erkända som en aktör som behöver följa NIS2.
  2. Implementera säkerhetskraven. NIS2 höjer den grundläggande säkerhetsnivån, och omfattar fler verksamheter än tidigare. Syftet är att höja säkerhetsnivån i hela samhället. Ta reda på vad ni behöver göra för att följa direktiven.
  3. Utbilda ledning och personal. Ledningen har ett tydligare ansvar för cybersäkerheten i företaget i och med NIS2. Inför grundläggande ”cyberhygien” genom att höja medvetandegraden om cybersäkerhet i hela organisationen.
  4. Säkerställ säkerheten i leveranskedjan. NIS2 kräver att berörda företag säkerställer att även deras leverantörer uppfyller NIS2:s krav,. Det innebär att ni måste ställa avtalsrättsliga krav på att era leverantörer också lever upp till säkerhetsstandarden.
  5. Arbeta systematiskt med informations- och cybersäkerhet. Med NIS2 höjs sanktionsavgifterna och det blir dyrt att brista i efterlevnaden av cybersäkerhetskraven. Undvik höga böter genom att göra riskbedömningar, stärka säkerhetsåtgärderna (gärna ännu mer än direktiven kräver) och upprätta planer för incidenthantering. Ta gärna hjälp genom samråd med experter på cybersäkerhet och dataskyddslagar. Det finns också complianceprogram som upptäcker och åtgärdar brister innan det hinner uppstå allvarliga incidenter.

Går det att säga något om vilka nya sektorer som tillkommer?

– Nya sektorer inkluderar avloppsvatten, offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, och tillverkning, inklusive produktion och distribution av kemikalier samt tillverkning av medicintekniska produkter, datorer, elektronik, elapparatur, övriga maskiner, livsmedelsproduktion och forskning.

– Det gäller även till exempel underleverantörer till dessa företag. Du som organisation som omfattas av NIS 2 behöver också säkerställa säkerheten i leveranskedjan.

Underleverantörer berörs också

Minst 50 anställda eller en omsättning på minst tio miljoner euro är tröskelvärdena för att omfattas av NIS2. Direktivet lägger också större och tydligare ansvar för cybersäkerheten på ledningen i företaget – och det kommer att kosta om företaget inte lever upp till kraven.

– Som följd ska den aktuella sanktionen i fråga om aktiebolag kunna tillämpas på styrelsen eller verkställande direktör samt deras ersättare, samt motsvarande i fråga om andra associationsrättsliga former, förklarar Martin Snygg.

Nytt är också att ni behöver ställa avtalsrättsliga krav på era underleverantörer, även om de inte själva är i en sektor som omfattas av NIS2. Ett exempel på när en sådan bestämmelse hade kunnat göra skillnad är när livsmedelskedjan COOP drabbades av en allvarlig incident, till följd av ett problem i leveranskedjan.

– Det var inte Coop själva som hade brustit utan leverantören av en komponent till deras betallösning, säger Martin Snygg. Den här ändringen kommer att leda till att många fler företag påverkas, eftersom det är många företag runt om i landet som levererar till större företag.

Läs regeringens delbetänkande av utredningen om genomförande av NIS2- och CER-direktiven här.

Här hittar du direktivstexten.

Här finns lite samlad information från MSB.

Och ett webbinarie med lite mer information.

Bloggen

På nytt jobb

Hämtar fler artiklar
Till startsidan
VD-tidningen

VD-tidningen Premium

Med fullt fokus på vd-rollen.
Full tillgång till strategiska artiklar med tips och analyser.