NIS2

EUROPEISK OCH NATIONELL LAGSTIFTNING OM ORGANISATIONERS CYBERSÄKERHET

Det nya europeiska direktivet Network and Information Security Directive 2 (NIS2) kommer snart att träda i kraft i EU-ländernas lagstiftning. Den nuvarande lagstiftningen för NIS1 kan skilja sig åt mellan olika länder. Det nya direktivet syftar till att ställa betydande krav på cybersäkerhetsnivån hos organisationer inom olika samhällssektorer som karakteriseras som väsentliga eller viktiga.

Dessa obligatoriska, riskbaserade cybersäkerhetsåtgärder kan effektivt bidra till en bättre säkerhetsnivå, och många element kommer redan att ingå i organisationernas cybersäkerhetspolicy. Underlåtenhet att följa dessa obligatoriska åtgärder kan dock leda till betydande böter.

BDO Global har utvecklat ett tydligt NIS2-bedömningsverktyg som omedelbart kan ge dig insikt i din nuvarande situation. Du kan komma åt detta verktyg via knappen nedan.

NIS2 Analysator

HUR DET FUNGERAR

NIS2 I KORTHET:

Eftersom NIS2 inte är lika tillgängligt för alla, erbjuder vi en kort översikt av detta europeiska direktiv om nät- och informationssäkerhet. I den här artikeln förklarar vi essensen och berättar vem det är viktigt för. Upptäck kraven och bästa praxis för efterlevnad av NIS2.

VAR STÅR DU?

För att säkerställa att din organisation är redo för dessa juridiska krav på cybersäkerhet i tid är det viktigt att börja med rätt förberedelser nu. Även om kraven ännu inte har formaliserats i nationell lagstiftning är det tydligt vilken riktning det är på väg, och parallellerna med befintliga ramverk och god praxis som ISO 27001.

Kör NIS2 Analyzer nu och få ett första intryck av var du är idag.

NIS2 Analysator

Vad?

NIS2 ställer säkerhetskrav som är grupperade under aktsamhet, rapporteringsskyldighet och tillsyn, och som redan är relativt konkreta innan de formaliseras i nationell lagstiftning. Dessa inkluderar bland annat de konkreta listorna över åtgärder från artikel 21 och de betydande böterna från artikel 34.4. Läs mer i direktivet: EUR-Lex – 32022L2555 (europa.eu) . Dessutom finns det ett antal andra anmärkningsvärda element som säkerhet i leveranskedjan, ansvar för ledningsorgan och utbildningsskyldigheter.

FÖR VEM?

Organisationer som faller under det nya europeiska direktivet Nätverks- och informationssäkerhetsdirektiv 2 (NIS2) inkluderar energibolag, flygbolag, vattenbolag, digitala tjänsteleverantörer, statliga myndigheter och deras leverantörer. För att kontrollera om din organisation faller under detta direktiv, rekommenderas det att du konsulterar information från din lokala myndighet eller relevant tillsynsorgan. Det kan också finnas självutvärderingsfrågeformulär tillgängliga i ditt land, som kan ge vägledning om huruvida din organisation omfattas av NIS2-kraven.

Om du har några frågor angående NIS2-efterlevnad är du välkommen att kontakta oss för expertråd och support.

VILKA ENHETER?

NIS2-direktivet riktar sig till fler typer av företag och organisationer än det första NIS-direktivet. Det gör att det nu finns fler offentliga och privata organisationer som måste följa reglerna.

De organisationer som nu omfattas av NIS2-direktivet inkluderar:

Bilaga 1 sektorer	Bilaga 2 sektorer
Energi Transport Bankverksamhet Infrastruktur finansmarknad Sjukvård Dricksvatten Digital infrastruktur ICT-tjänsteleverantörer Avloppsvatten Statliga tjänster Utrymme	Digitala tjänsteleverantörer Post- och budtjänster Avfallshantering Livsmedelsproduktion Kemikalier Forskning Tillverkning

Viktiga enheter

Det är stora organisationer som är verksamma inom en sektor från bilaga I till NIS2-direktivet (se tabell).

En organisation anses stor utifrån följande kriterier:

minst 250 anställda;
en årlig omsättning på mer än 50 miljoner euro och en balansomslutning på mer än 43 miljoner euro.

Viktiga enheter

Det är medelstora organisationer som är verksamma inom en sektor från bilaga I och medelstora och stora organisationer som är verksamma inom en sektor från bilaga II.

En organisation anses vara medelstor utifrån följande kriterier: