NIS2: Är ni redo för EU:s nya cybersäkerhetsregler?

NIS2 är den nya EU-förordningen som ser till att organisationer skärper sitt digitala säkerhetstänk. Men vad är det egentligen, vem gäller det för, och hur ska ni som företag agera? Häng med – vi bryter ner det hela!

Vad är NIS2?
NIS2 står för Network and Information Security Directive 2, och som namnet antyder är det en uppföljare till det ursprungliga NIS-direktivet från 2016. Den här versionen har högre krav och ett bredare omfång, med målet att skydda kritisk infrastruktur och viktiga tjänster från cyberhot. Tänk på det som GDPR, fast för IT-säkerhet.

Vilka påverkas?
Kort sagt: många fler än förut. Där NIS1 främst riktade sig mot de mest uppenbara sektorerna som energi, transport och hälsovård, lägger NIS2 till fler branscher, inklusive:

• Mellanstora och stora företag inom IT, finans, dricksvattenförsörjning, avfallshantering och mycket mer.
• Företag som levererar tjänster eller produkter till kritisk infrastruktur.

Det betyder att även om ni inte direkt hanterar elnätet, kan ni behöva följa reglerna om ni är en del av kedjan.

Vad krävs av er?
NIS2 ställer krav på allt från incidentrapportering till riskhantering och leverantörssäkerhet. Här är några saker att tänka på:

1. Kartlägg er IT-säkerhet: Hur ser era nuvarande rutiner ut? Har ni koll på era risker?
   Tips: Gör en inventering av alla system och tjänster ni använder, och analysera deras säkerhetsnivå.
2. Utbilda personalen: Säkerhet är inte bara en IT-fråga – alla på företaget måste förstå sin roll.
   Tips: Skapa enkla utbildningar som förklarar de vanligaste hoten, som phishing eller dåliga lösenord.
3. Säkra era leverantörer: Har era partners och leverantörer en lika hög säkerhetsstandard som ni?
   Tips: Ställ krav på era leverantörer att följa standarder som ISO 27001 eller liknande.
4. Incidentrapportering: Under NIS2 har ni begränsad tid att agera och rapportera vid en incident.

Vad händer om man inte följer reglerna?
Precis som med GDPR kan det bli dyrt. Sanktioner kan i värsta fall bli så höga som 10 miljoner euro eller 2 % av företagets globala omsättning. Ingen press, men det är kanske dags att börja agera?

Hur kommer ni igång?
NIS2 må kännas som en stor utmaning, men med rätt strategi kan ni se det som en möjlighet att stärka er verksamhet. Börja med att se över er nuvarande säkerhetsnivå och identifiera era svagheter. Överväg att implementera och certifiera ISO 27001, vilket ger en robust grund för säkerhet och regelefterlevnad, utveckla tydliga säkerhetsrutiner och policyer som möter NIS2-kraven. Avslutningsvis är det viktigt att ha Incidenthanteringsplaner och att genomföra tester för att förbereda er inför oväntade händelser.

Det här ger en tydlig och strukturerad start:

1. Analysera relevans: Identifiera om företaget omfattas och vilka tjänster som är kritiska.
2. Kartläggning: Genomför en analys av IT/OT-infrastruktur och risker.
3. Utse ett ansvarsteam: Sätt upp ett team för NIS2-arbetet och utbilda personalen.
4. Gap-analys: Identifiera skillnader mellan nuläget och NIS2-kraven.
5. Handlingsplan: Prioritera åtgärder, budgetera och planera resurser.
6. Tekniska åtgärder: Förbättra incident- och krishantering samt åtkomstkontroll.
7. Rapporteringssystem: Inför mekanismer för att rapportera incidenter till myndigheter.
8. Uppföljning: Kontrollera och uppdatera processerna löpande.