1. Vad är NIS2-direktivet?
NIS2-direktivet är ett EU-direktiv som ska stärka cybersäkerheten i hela unionen. NIS2 höjer kraven på säkerhetsåtgärder och riskhantering för flera olika verksamheter, bland annat offentlig förvaltning. Direktivet ska säkerställa kontinuitet i de mest kritiska samhällsfunktionerna, vid till exempel cyberattacker.
2. Vilka verksamheter omfattas av NIS2?
Enligt MSB, myndigheten för samhällsskydd och beredskap, är det offentlig förvaltning, statliga och regionala förvaltningsentiteter. Utredningen undersöker om även kommuner ska omfattas. Dessutom omfattas en rad andra sektorer av den nya lagen, som exempelvis energi, transport, bank- och finanssektorn, digitala leverantörer och hälsovård. Samtliga måste följa strängare krav på informationssäkerhet och incidentrapportering.
3. Vad skiljer NIS2 från NIS1?
Förutom att fler verksamheter berörs, inför NIS2-direktivet strängare krav på riskhantering och säkerhetsåtgärder. Direktivet kräver också bättre åtgärder för övervakning, rapportering av incidenter och mer öppna strategier för att hantera risker. Det ställs också högre krav på ledningen. Exakt vad som gäller i Sverige kommer när lag och föreskrifter är klara.
4. Vad behöver offentliga verksamheter göra för att förbereda sig?
För att anpassa sig till NIS2 bör verksamheter – och ledningen – engagera sig i ett systematiskt informationssäkerhetsarbete. Det inkluderar att:
- Etablera och upprätthålla ett omfattande system för informationssäkerhet.
- Införa lämpliga tekniska och organisatoriska åtgärder för att hantera risker.
- Genomföra regelbunden utbildning av ledning och personal i säkerhetsfrågor.
- Utarbeta – och implementera – en process för effektiv incidentrapportering.
5. När börjar NIS2 att gälla?
Den nya cybersäkerhetslagen planeras träda i kraft i början av 2025.
Läs mer om hur du kommer igång med ett strukturerat arbete inom informationssäkerhet