NIS-2 direktivet – ökad cybersäkerhet för samhällsviktiga tjänster

De senaste åren har antalet cyberattacker ökat kraftigt, och bakom dem finns inte bara kriminella och hackare utan även statsstödda aktörer som har stor uthållighet och rejäla resurser. Cybersäkerhet handlar om mer än tekniska åtgärder. Utgångspunkten är ett riskbaserat säkerhetsarbete för att kunna identifiera och prioritera rätt åtgärder samt förmåga att hantera cyberangrepp. NIS-2 direktivet ska höja säkerheten inom samhällskritisk infrastruktur, och därmed hela samhällets robusthet mot störningar.

Hur och när ska det nya NIS-direktivet tillämpas?

NIS är utformat som ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat. Genomförandetiden för NIS-2 är 21 månader, så om beslutet på EU-nivå tas i november 2022 ska direktivet vara genomfört i svensk reglering före augusti 2024. Under hösten kommer regeringen att tillsätta en utredning för genomförandet av NIS-2.

Vilka omfattas av nya NIS-direktivet?

Kraven i NIS-direktivet gäller för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av. Är man redan idag leverantör av samhällsviktiga eller vissa digitala tjänster omfattas man av NIS-2 direktivet. Även mindre företag kan påverkas om det anses vara nödvändigt utifrån företagets verksamhet. Exakt vilka som omfattas styrs av den nationella implementeringen. Det tillkommer även nya sektorer. Inom energiförsörjningen tillkommer värme, kyla och vätgas.

De mest framträdande tilläggen i NIS-2 direktivet:

• Högre krav på säkerhet och rapportering där en lista med minimumkrav måste uppfyllas, bland annat flerfaktorsautentisering, kryptering och backuphantering.
• Krav på säkerhet för leverantörskedjor och leverantörer.
• Incidentrapportering måste göras inom 24 timmar i stället för nuvarande 72 timmar.
• Kontinuitetsplanering såsom katastrofåterställning och krishantering.
• Striktare tillsynsåtgärder för nationella myndigheter, striktare efterlevnadskrav.
• Sanktionsavgifter för företag som inte tar hand om sitt ansvar upp till 10 miljoner EURO eller två procent av verksamhetens totala omsättning, beroende på vilket som är högst.
• Ökad informationsdelning och samarbete mellan medlemsstaternas myndigheter.

Påverkas du av NIS 2? – gör så här

Börja med att genomföra en gapanalys mot nuläget. Med det nya NIS-2 direktivet har ledningsgrupper en avgörande och aktiv roll i övervakningen och genomförandet av dessa åtgärder. Varje verksamhet som berörs behöver ha ett strukturerat arbete om riskhantering, informationsdelning och en välorganiserad incidenthantering. 

Samarbeta med andra energiföretag. Det dimensionerande hotet är identiskt och likheterna mellan energiföretagen i detta hänseende är större än olikheterna. Det innebär att det är möjligt att ha en gemensam process för delning av hot- och underrättelseinformation, operativt stöd vid incidenthantering, arbetsmetoder och verktyg för risk- och sårbarhetsanalys, tekniska lösningar med leverantörers kedjor, samt erfarenhetsåterkoppling mellan företag. Ett bra samarbete tillsammans gör energibranschen robustare i cybersäkerhet.

Detta gör Energiföretagen Sverige

• Deltar i sektorsövergripande samordning med andra NIS-leverantörer av samhällsviktiga tjänster.
• Erbjuder nätverk inom Energisäkerhetsgrupp (ESG) arbetsgrupp i informations-och cybersäkerhet. Vid intresse att delta kontakta Emma Johansson.
• Ger råd och utbildning i informations- och cybersäkerhet. Webbutbildning i cybersäkerhet den 19 oktober.

Vidare läsning

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, och om upphävande av direktiv (EU) 2016/1148 – COM(2020) 823