NETWORK AND INFORMATION SECURITY DIRECTIVE (NIS2)
FÖRSTÅELSE AV NIS2-DIREKTIVET
NIS2 är det andra Network and Information Security Directive, som utökar tillämpningsområdet till fler sektorer, med strängare krav och hårdare straff för bristande efterlevnad jämfört med den befintliga NIS.
Med några få undantag gäller det för medelstora och stora företag (50 anställda eller en årlig omsättning på 10 miljoner euro) inom sektorer som hälso- och sjukvård, digitala tjänster och infrastruktur, bank och finans, samt livsmedel.
Huvudsyftet med NIS2-direktivet är att främja en cybersäkerhetskultur och säkerställa motståndskraften hos viktiga tjänster inom tre nyckelområden:
• Riskhantering och incidentrespons: NIS2 fastställer att organisationer måste genomföra regelbundna riskbedömningar för att identifiera potentiella hot och ha robusta incidentresponsplaner för att säkerställa att de effektivt kan svara på och återhämta sig från cyberincidenter.
• Säkerhetsåtgärder: Det kräver att organisationer implementerar tekniska och organisatoriska åtgärder för att säkerställa säkerheten i deras nätverk och informationssystem. Detta inkluderar åtkomstkontroller, kryptering och regelbundna säkerhetsuppdateringar.
• Rapportering: Organisationer måste också rapportera betydande cyberincidenter till relevanta myndigheter.
VAD FÖRETAG BEHÖVER VETA
Ändringarna som träder i kraft i oktober 2024 inkluderar att lägga till hanterade tjänsteleverantörer i tillämpningsområdet. Därför gäller NIS2-direktivet för organisationer som bedriver verksamhet eller utför aktiviteter för EU-företag inom tillämpningsområdet.
Detta inkluderar företag som passar beskrivningen av en "väsentlig" eller "viktig" organisation i en definierad lista över sektorer, såsom internetleverantörer, energileverantörer, dricksvattenföretag, avfallsbehandlare, banker, transportföretag, hälso- och sjukvårdsinstitutioner, livsmedelsproduktionsfabriker och leverantörer av digital infrastruktur.
Underlåtenhet att agera kan bli kostsamt. Under NIS2 kan nationella myndigheter införa ett bredare utbud av sanktioner jämfört med NIS. Till exempel:
• Direktörer och ledning kan hållas personligt ansvariga för brister i implementeringen.
• Böter kan uppgå till 10 miljoner euro eller 2 % av den totala omsättningen (för väsentliga enheter) eller upp till 7 miljoner euro eller 1,4 % av den totala omsättningen (för viktiga enheter).
• Tillsynsmyndigheter kan vid behov stänga av affärsverksamheten för nätverkssäkerhetens skull.
NIS2-EFTERLEVNAD TJÄNSTER FRÅN BUREAU VERITAS
Våra experter på Secura, ett företag inom Bureau Veritas, erbjuder en rad tjänster för att stödja efterlevnad av NIS2, oavsett var du befinner dig på din cybersäkerhetsresa.Dina steg till efterlevnad, inklusive våra tjänster för att hjälpa dig att uppnå dem:
Verifiera om NIS2 gäller för din organisation
Det första steget är att fastställa om din organisation omfattas, om du levererar tjänster till EU. NIS2 gäller för viktiga och väsentliga enheter. Om en organisation klassificeras som sådan beror på dess storlek och sektor.
Utbildning för din styrelse och personal
Att utbilda dina anställda, både på styrelsenivå och andra nivåer, är en viktig del av NIS2-direktivet. Vi har utvecklat NIS2 Boardroom Training och SAFE Awareness Programme, som hjälper dig att uppfylla dessa krav på alla nivåer.
Kartlägg var din organisation står just nu
För att avgöra vilka steg du måste ta för att uppfylla NIS2:s krav är det viktigt att ha en bra uppfattning om säkerhetsmognadsnivåerna i olika delar av din organisation. Vår NIS2-gap-analystjänst mäter var du är och var du behöver gå. Med denna insikt vet du vilka steg du måste ta för att uppnå NIS2-efterlevnad.
Implementera förbättringar
Efter att ha kartlagt var din organisation står just nu kan du implementera de förbättringsåtgärder som kan krävas. Vårt breda utbud av lösningar, inklusive CISO-support och incidentresponstjänster, kan stödja dig både i implementeringen och tolkningen av åtgärderna.
Uppnå NIS2-efterlevnad
Efter att ha slutfört dessa steg kommer du att vara NIS2-kompatibel och din organisation kommer att vara säkrare mot cyberhot. Vi stöder dig också genom hela processen med vårt CyberCare-program.
VAD ÄR FÖRDELARNA MED NIS2-EFTERLEVNAD?
Efterlevnad är obligatorisk för vissa organisationer, men efterlevnad av NIS2 kommer också att ge andra fördelar, inklusive:
• Förbättrad cyberresiliens och bättre planering för cyberhot
• Ökad förståelse för cyberrisker i hela organisationen
• Förbättrad incidentrespons och rapportering
VARFÖR VÄLJA BUREAU VERITAS FÖR DINA NIS2-EFTERLEVNADSBEHOV?
• Erfaret team med årtionden av erfarenhet inom governance, risk och efterlevnad
• En rad tjänster specifikt utvecklade för att möta dina NIS2-behov och hjälpa dig att bli NIS2-kompatibel
• Cybersäkerhetsexperter inom människor, processer och teknik
• En enda kontaktpunkt och en beprövad partnerskapsstrategi
• En tydlig färdplan för att bli och förbli NIS2-kompatibel
• Stöds av Bureau Veritas globala expertis, en världsledare inom test-, inspektions- och certifieringstjänster
Vanliga frågor
-
HUR SKILJER SIG NIS2 FRÅN NIS?
NIS2 fokuserar på samma mål som NIS, men täcker ett bredare utbud av sektorer, har strängare krav på riskhantering och incidentrapportering, samt högre straff för bristande efterlevnad. Det utökar också omfattningen av de täckta organisationerna.
-
KAN DU SAMMANFATTA DE VIKTIGASTE KRAVEN I NIS2?
NIS2 fastställer att processer måste upprättas för riskanalys och hantering, informationssäkerhet och hantering av cyberincidenter. Kontinuitets- och återhämtningsplaner måste finnas på plats för att svara på nödsituationer. Betydande incidenter måste rapporteras till de relevanta myndigheterna. Företagsomfattande användning av krypteringsteknik och multifaktorautentisering krävs. Och regelbunden utbildning krävs för all personal för att utbilda dem om bästa praxis inom informationssäkerhet.
-
HUR RELATERAR NIS2 TILL ISO 27001?
Även om både ISO 27001 och NIS2 syftar till att förbättra cybersäkerheten har de olika omfattningar, tillämplighet och övergripande tillvägagångssätt för cybersäkerhet. Om ditt informationssäkerhetsledningssystem (ISMS) är certifierat enligt ISO 27001 är du på väg mot NIS2-efterlevnad, men ytterligare åtgärder och processer kommer sannolikt att krävas.