NIS2 klubbat – ställer höga krav

NIS är ett sedan 2016, europeiskt direktiv som ställer krav på informationssäkerheten på leverantörer inom samhällsviktiga tjänster och digitala tjänster. I november 2022 klubbades NIS2 igenom, ett direktiv mer anpassat efter aktuella förutsättningar. Swedsoft har kikat på hur de nya direktiven kan komma att påverka.

Den 10 mars bjuder Swedsoft in till ett digitalt seminarium med Tommy Forsell, Försvarsdepartementet, på temat NIS2.

NIS trädde i kraft 2016 med anledning av att man, för att uttrycka det enkelt, behövde stärka cybersäkerheten i hela EU. I dagsläget berör det områden som påverkar människors vardag och välmående. Med NIS2 utökas det till att omfatta åtta nya sektioner, som energisektorn, transport, bank, hälsa, digital infrastruktur, offentlig förvaltning och rymdsektorn. Samtliga 27 medlemsstater behöver införliva NIS2 i sin nationella lagstiftning före september 2024, och Sverige är självklart inte ett undantag.

De stora skillnaderna

NIS2 ställer i jämförelse med sin föregångare, höga krav på verksamhetens styrande organ så som bolags- och kommunstyrelser. Enligt artikel 20 ska ledamöter i ledningen för viktiga entiteter genomgå utbildning och medlemsländer ska uppmuntra väsentliga entiteter att regelbundet erbjuda sina anställda liknande utbildning, så att de får tillräckliga kunskaper och färdigheter för att kunna identifiera risker och bedöma riskhanteringsmetoder för cybersäkerhet.

Andra stora skillnader är den striktare deadline som införs för incidentrapportering, nämligen 24 timmar gentemot tidigare 72 timmar samt kännbara höga böter för den som inte lever upp till kraven.

I direktivet listas också de obligatoriska säkerhetsåtgärderna som måste implementeras som ett minimum. Här i översättning av Knowit:

  • Viktiga åtgärder.
  • Riskanalys och informationssäkerhetspolicyer.
  • Incidenthantering
  • Verksamhetskontinuitet (såsom backuphantering, katastrofåterställning) och krishantering.
  • Säkerhet i leveranskedjan innefattandes hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer och tjänsteleverantörer.
  • Säkerhet vid anskaffning, utveckling och förvaltning av datanätverk och informationssystem, inklusive hantering och tillkännagivande av sårbarheter.
  • Policyer och rutiner för bedömning av valda säkerhetsåtgärders ändamålsenlighet för cybersäkerheten i verksamheten.
  • Grundläggande rutiner för datasäkerhet och utbildning i cybersäkerhet.
  • Policyer och rutiner gällande kryptografi samt, där så lämpligt, kryptering.
  • Säkerhet inom personal/HR, åtkomstpolicyer samt hantering av tillgångar.
  • Användning av flerfaktorsautentisering eller lösningar för kontinuerlig autentisering, säkra video, röst och textkommunikationer inom verksamheten, där så lämpligt.

Läs hela direktivet här.

Nyheter


Inbjudan till 20-minuters pitchpresentationer – STEW 2025

Nätverkskonferensen Software Technology Exchange Workshop (STEW) är en årlig konferens som sedan 2012 arrangeras av Swedsoft för att skapa utbyte

Inbjudan till 4-minuters pitchpresentationer – STEW 2025

Nätverkskonferensen Software Technology Exchange Workshop (STEW) är en årlig konferens som sedan 2012 arrangeras av Swedsoft för att skapa utbyte

Därför är vi medlemmar i Swedsoft – Linnéuniversitetet

Vad gör din organisation, vilka kunder jobbar ni med? Linnéuniversitetet finns i Växjö och Kalmar och vi erbjuder över 200

foss-north 2025 – Exklusiv medlemsrabatt

Evenemangsdetaljer: Datum: 14–15 april 2025 Plats: Chalmers Conference Centre, Göteborg Format: Fysisk konferens på plats Om foss-north: foss-north är en