NIS2 är en uppgradering av NIS för att stärka kontroll på information och säkerhet hos leverantörer av samhällsviktiga och samhällskänsliga verksamheter. NIS2 fokuserar på att kontinuitet och säkerhetsskydd blir tydligare och uppfylls. Direktivet ställer krav på att berörda verksamheter upprätthåller ett systematiskt riskbaserat informationssäkerhetsarbete i hela dess verksamhet med ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. Detta inkluderar även underleverantörer som ska upprätthålla en hög nivå på informationssäkerhet, cybersäkerhet, incidenthantering och kontinuitetsplanering, i relation till sin del i leveranskedjan.
NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med tidigare. De 18 sektorerna som omfattas av NIS2-direktivet är:
Väsentliga
Energi, Transport, Bankverksamhet, Finansmarknadsinfrastruktur, Hälso- och sjukvårdssektorn, Dricksvatten, Avloppsvatten, Digital infrastruktur, Förvaltning av IKT-tjänster (mellan företag), Offentlig förvaltning, Rymden
Viktiga
Post- och budtjänster, Avfallshantering, Tillverkning, produktion och distribution av kemikalier, Produktion, bearbetning och distribution av livsmedel, Forskning, Digitala leverantörer, Tillverkning
Enligt denna utredning som regeringen tillsatt kommer storleken på verksamheten inte ha betydelse utan att det är fokus på vilken typ av verksamhet som utförs. Exakt vilka och i vilken omfattning olika verksamheter omfattas av lagen i Sverige är inte klart då de finns med i delbetänkandet SOU 2024:18. Nya regler om cybersäkerhet är just nu ute på remiss fram till 28 maj, och sedan kommer slutbetänkandet 16 september.
Är det en samhällsviktig viktig eller känslig verksamhet alternativt om det är en leverantör eller underleverantör så ska hela verksamheten implementera systematiskt riskbaserat informationssäkerhetsarbete och inte endast för den del som bedöms omfattas av NIS2.
Hur kan ansvariga för verksamheten få kontroll och veta att de lever upp till kraven?
Vad som ska uppfyllas och att det behövs ansvarsfördelning för NIS är i nuläget identifierat av de flesta samhällsviktiga verksamheter. Hur detta ska genomföras är så effektivt som möjligt är utmaningen för alla som är och blir berörda. Utvecklingen att kunna komma åt verksamhetens information går fort och kontroll på informationshantering och säkerhetsåtgärder är sättet att kunna arbeta proaktivt. Det viktiga är att det är återkommande uppföljning på status, händelser, hot med hantering av åtgärder och inte något som registreras eller dokumenteras en gång.
Här följer sex tips till dig som vill upprätta kontrollen i din verksamhet.
1. Samverka. Implementera i kulturen och mellan olika processer (säkerhetsskydd, dataskydd, informationssäkerhet, cybersäkerhet, it-säkerhet etc).
2. Fastställ metodstöd. Hur kan organisationen arbeta systematiskt och riskbaserat för olika roller?
3. Effektivisera förvaltning. Ensa benämningar, processer, risker från olik krav, exempelvis lagkrav, policys och riktlinjer.
4. Fastställ bedömningsnivåer och säkerhetsnivåer. Mot vad sker bedömning och vilka krav innebär det för din organisation?
5. Utbilda. Alla i organisationen behöver utbildning för att förstå och se vad som är aktuellt för dem i sin roll.
6. Uppdaterad information som visar nuläge. Sammanställ information och se till att den följs upp i olika forum för åtgärdsplanering.
Förslaget är att kraven från NIS2 ska gälla från 1 januari 2025 vilket innebär att förberedelserna i organisationen med förvaltning behöver startas upp redan nu för de som vet att de kommer att bli berörda, och för de som kan bli berörda är det tid att få kontroll på status i verksamheten. På Basalt har vi erfarenhet av att stötta verksamheter med att implementera metoder för systematisk riskbaserad organisation och förvaltning så kontakta oss om ni behöver stöd eller har funderingar.