Överblick över EU:s NIS-2-direktiv: omfattning, konkreta krav, rapporteringsskyldigheter och förhållande till Cyber Resilience Act.
NIS 2:s omfattning
NIS-2-direktivet utvidgar avsevärt omfattningen jämfört med sin föregångare. Det täcker nu ett bredare utbud av sektorer och enheter:
Väsentliga sektorer
- Energi (el, fjärrvärme/kyla, olja, gas, väte)
- Transport (flyg, järnväg, sjöfart, väg)
- Bank och finansmarknadsinfrastrukturer
- Hälsa
- Dricksvatten och avloppsvatten
- Digital infrastruktur
- B2B-leverantörer av ICT-tjänster
- Offentlig förvaltning
- Rymd
Viktiga sektorer
- Post- och kurirtjänster
- Avfallshantering
- Kemikalier (produktion, tillverkning, handel)
- Livsmedel (produktion, bearbetning, distribution)
- Industri (medicintekniska produkter, elektrisk och elektronisk, maskinteknik, fordon)
- Digitala tjänster (marknadsplatser, sökmotorer, sociala medier)
- Forskning
Direktivet gäller för medelstora och stora företag inom dessa sektorer, baserat på definierade tröskelvärden.
Specifika krav i NIS 2
Artikel 21 i NIS-2-direktivet fastställer ett antal specifika krav för berörda enheter. Dessa syftar till att säkerställa en hög gemensam nivå av cybersäkerhet över hela EU. Nedan följer huvudkraven i detalj:
Riskhantering (artikel 21, punkt 1 och 2(a))
Implementera lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att adressera cybersäkerhetsrisker, inklusive koncept för riskanalys och säkerhet för informationssystem.
Exempel: regelbundna riskanalyser, skapande och uppdatering av en riskinventering, implementering av en formaliserad riskhanteringsprocess.
Försörjningskedjesäkerhet (artikel 21, punkt 2(d) och punkt 3)
Ta hänsyn till cybersäkerhetsrisker över hela försörjningskedjan, inklusive säkerhetsaspekter mellan företaget och dess direkta leverantörer eller tjänsteleverantörer.
Exempel: genomföra säkerhetsrevisioner av leverantörer, inkludera cybersäkerhetsklausuler i kontrakt, implementera ett leverantörsriskhanteringssystem.
Hantering av säkerhetsincidenter (artikel 21, punkt 2(b))
Implementera åtgärder för effektiv hantering av säkerhetsincidenter.
Exempel: etablera ett Computer Emergency Response Team (CERT), utveckla och regelbundet testa incidentresponsplaner, implementera automatiserade detektions- och responssystem.
Kontinuitet i verksamheten och krishantering (artikel 21, punkt 2(c))
Implementera åtgärder för att upprätthålla verksamheten, inklusive backup-hantering, återhämtning efter en nödsituation och krishantering.
Exempel: utveckla och regelbundet testa verksamhetskontinuitets- och katastrofåterställningsplaner, upprätta ett team för cyberincidentkris, implementera redundanta system och datasäkerhetskopior.
Säkerhet vid förvärv, utveckling och underhåll (artikel 21, punkt 2(e))
Implementera säkerhetsåtgärder vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive sårbarhetshantering och avslöjande.
Exempel: integrera security-by-design-principer i utvecklingsprocesser, regelbundet tillämpa säkerhetsuppdateringar och patchar, implementera ett sårbarhetshanteringsprogram.
Testning och bedömning av effektivitet (artikel 21, punkt 2(f))
Implementera koncept och procedurer för att bedöma effektiviteten av cybersäkerhetsriskhanteringsåtgärder.
Exempel: regelbundna interna och externa säkerhetsrevisioner, implementera nyckelprestandaindikatorer (KPI:er) för cybersäkerhet, genomföra penetrationstester och red-team-övningar.
Cyberhygien och utbildning (artikel 21, punkt 2(g))
Implementera grundläggande cyberhygiensprocedurer och genomföra cybersäkerhetsutbildning.
Exempel: regelbundna phishing-simuleringar, obligatorisk årlig cybersäkerhetsmedvetenhetsträ ning för alla anställda, implementera bästa praxis för lösenord och enheteanvändning.
Kryptering och kryptografi (artikel 21, punkt 2(h))
Implementera koncept och procedurer för användning av kryptografi och, där lämpligt, kryptering.
Exempel: användning av AES-256 för datakryptering, användning av TLS för kryptering av dataöverföringar, implementering av end-to-end-kryptering för känslig kommunikation.
Personalsäkerhet, åtkomstkontroll och anläggningshantering (artikel 21, punkt 2(i))
Implementera åtgärder för personalsäkerhet, åtkomstkontrollkoncept och anläggningshantering.
Exempel: bakgrundskontroller vid anställning av nya medarbetare, implementering av rollbaserad åtkomstkontroll, installation av åtkomstkontrollsystem för kritisk infrastruktur.
Flerfaktorsautentisering och säker kommunikation (artikel 21, punkt 2(j))
Använd lösningar för flerfaktorsautentisering eller kontinuerlig autentisering, säkra kommunikationssystem och, där lämpligt, säkra nödkommunikationssystem.
Exempel: implementera 2-faktorsautentisering för alla kritiska system, använda VPN för fjärråtkomst, upprätta ett säkert nödkommunikationssystem.
Beaktande av teknikens ståndpunkt (artikel 21, punkt 1, underavsnitt 2)
Ta hänsyn till teknikens ståndpunkt och, där tillämpligt, relevanta europeiska och internationella standarder vid implementering av säkerhetsåtgärder.
Exempel: regelbunden granskning och uppdatering av säkerhetsåtgärder baserat på de senaste bästa metoderna och standarder som ISO/IEC 27001, NIST Cybersecurity Framework eller BSI IT-Grundschutz.
Proportionalitet av åtgärder (artikel 21, punkt 1, underavsnitt 2)
Beakta proportionaliteten av åtgärder genom att ta hänsyn till faktorer som riskexponering, enhetens storlek och den potentiella påverkan av säkerhetsincidenter.
Exempel: kostnad-nyttoanalys för säkerhetsåtgärder, justera säkerhetskontroller baserat på kritikaliteten hos system och data, prioritera säkerhetsinvesteringar baserat på riskanalyser.
Att implementera dessa krav kräver en holistisk ansats till cybersäkerhet som täcker tekniska, operativa och organisatoriska aspekter. Företag måste anpassa dessa krav till sin specifika situation och kontinuerligt granska och förbättra dem.
Rapporteringsskyldigheter för NIS 2
Artikel 23 i NIS-2-direktivet fastställer tydliga rapporteringskrav för cybersäkerhetsincidenter:
Tidig varning
Väsentliga och viktiga enheter måste lämna in en tidig varning till behöriga myndigheter eller CSIRT (Computer Security Incident Response Team) utan onödigt dröjsmål, och senast inom 24 timmar efter att ha blivit medvetna om en betydande cybersäkerhetsincident.
Interimsrapport
Inom 72 timmar efter den tidiga varningen måste en uppdaterad rapport lämnas in som innehåller en initial bedömning av incidenten, dess allvarlighetsgrad och påverkan, och, där tillgängligt, indikatorerna som användes för att identifiera en kompromiss.
Slutrapport
Senast en månad efter inlämnande av interimsrapporten måste en slutrapport tillhandahållas som innehåller:
- En detaljerad beskrivning av incidenten, dess allvarlighetsgrad och påverkan
- Typen av hot eller orsak som sannolikt utlöste incidenten
- Tillämpade och pågående åtgärder
- Om tillämpligt, gränsöverskridande effekter av incidenten
Sanktioner och verkställighet
NIS-2-direktivet föreskriver effektiva, proportionella och avskräckande sanktioner för överträdelser:
Böter
Företag kan få böter på upp till 10 miljoner EUR eller 2% av den globala årliga omsättningen, beroende på vilket som är högre.
Personligt ansvar
Ledningsorgan kan hållas ansvariga för misslyckanden med att övervaka och verkställa efterlevnad av NIS-2-skyldigheter.
Tillfälliga förbud
Chefer kan tillfälligt förbjudas från att utöva ledningsfunktioner.
Skillnad från Cyber Resilience Act (CRA)
Medan NIS-2-direktivet fokuserar på säkerheten för nätverks- och informationssystem i kritiska sektorer, riktar sig Cyber Resilience Act (CRA) specifikt mot cybersäkerheten för produkter med digitala element. Det är viktigt att förstå skillnaderna och synergierna mellan dessa två EU-förordningar:
| NIS 2 | CRA | |
|---|---|---|
| Fokus | Fokuserar på organisatoriska och processrelaterade aspekter av cybersäkerhet inom specifika sektorer. | Riktar sig mot produktsäkerhet och fokuserar på hela försörjningskedjan för produkter med digitala element. |
| Omfattning | Gäller för företag och organisationer inom definierade kritiska sektorer. | Gäller tillverkare, importörer och distributörer av produkter med digitala element, oavsett sektor. |
| Krav | Kräver riskhanteringsåtgärder, rapporteringsskyldigheter och organisatoriska säkerhetsåtgärder. | Kräver beaktande av cybersäkerhet i produktdesign, överensstämmelsebedömningar och kontinuerlig sårbarhetshantering genom hela produktlivscykeln. |
| Tidslinje | Transponering till nationell lag senast oktober 2024. | Förväntas träda i kraft 2024, med en 24-månaders övergångsperiod för de flesta bestämmelser. |
För många företag, särskilt de som både driver kritisk infrastruktur och tillverkar eller distribuerar produkter med digitala element, kommer båda förordningarna att vara relevanta. En holistisk ansats som adresserar både NIS-2 och CRA är därför viktig.
Implementering och tidslinje för NIS 2
EU:s medlemsstater har till den 17 oktober 2024 på sig att transponera bestämmelserna i NIS-2-direktivet till nationell lag. Observera dock följande:
- Olika transponeringshastigheter: inte alla länder kommer att uppfylla deadlinen, vilket kan leda till en ojämn implementering.
- Nationella anpassningar: vissa länder kan utvidga eller justera direktivets krav, vilket resulterar i skillnader mellan medlemsstaterna.
- Fasad implementering: företag bör förvänta sig en stegvis utrullning och möjliga justeringar av kraven över tid.
För en uppdaterad överblick över implementeringsstatus i olika EU-länder rekommenderar vi vår artikel "NIS 2-Umsetzung in Europa: Ein Überblick über den aktuellen Stand". Denna artikel ger värdefulla insikter i de olika ansatserna och framstegen hos medlemsstaterna när det gäller att implementera direktivet.
Slutsats
NIS-2-direktivet representerar ett betydande steg mot förbättring av cybersäkerheten i EU. Det innebär avsevärda utmaningar för företag men erbjuder också möjligheten att på ett omfattande sätt stärka cybersäkerheten och öka motståndskraften mot hot. En proaktiv ansats och tidigt engagemang med direktivets krav är avgörande för att företag ska vara väl förberedda och minimera potentiella risker.