Med införandet av NIS2-direktivet (Network and Information Systems Directive 2) ställs företag inför strängare krav på cybersäkerhet och incidentrapportering. Direktivet, som är en uppdatering av det ursprungliga NIS-direktivet från 2016, syftar till att förstärka skyddet av kritisk infrastruktur inom EU. Det riktar sig särskilt till företag inom sektorer som energi, transport, hälso- och sjukvård samt leverantörer av digitala tjänster. NIS2 trädde i kraft den 16 januari 2023, och EU:s medlemsstater har fram till den 17 oktober 2024 på sig att införliva direktivet i sin nationella lagstiftning.
Uppfyller ditt företag kraven?
1. Identifiera om ditt företag omfattas av NIS2
NIS2 utökar de sektorer som omfattas av direktivet, vilket innebär att fler företag, inklusive små och medelstora företag, nu måste följa reglerna. För att säkerställa att ditt företag uppfyller NIS2 är det första steget att fastställa om din verksamhet ingår i någon av de kategorier som omfattas. Om ditt företag är en del av en försörjningskedja för kritisk infrastruktur är det särskilt viktigt att göra denna bedömning.
2. Implementera robusta säkerhetsåtgärder
Direktivet ställer högre krav på säkerhet och incidenthantering än tidigare. För att möta dessa krav behöver företag implementera välfungerande och proaktiva säkerhetssystem för att kunna identifiera, förebygga och reagera på cyberhot. Detta inkluderar regelbundna riskanalyser, uppdaterade system för säkerhetsövervakning och utveckling av incidenthanteringsplaner som kan sättas i verket omedelbart vid behov.
3. Ta fram och upprätthåll en plan för incidentrapportering
En av de centrala delarna i NIS2 är kravet på snabb rapportering av incidenter till berörda myndigheter. Det betyder att ditt företag måste ha en tydlig och effektiv process för att upptäcka, analysera och rapportera incidenter inom en fastställd tidsram. Underlåtenhet att rapportera i tid kan leda till betydande böter, vilket gör det avgörande att denna process är väl integrerad i företagets säkerhetsstrategi.
4. Övervaka leverantörers och partners säkerhetsarbete
Eftersom NIS2 även omfattar företagets leverantörskedja, är det viktigt att säkerställa att alla externa partners följer direktivets krav. Det kan innebära att införa strängare krav i avtal med leverantörer, genomföra regelbundna säkerhetsrevisioner och följa upp att säkerhetsåtgärderna verkligen efterlevs över tid.
5. Anpassa företagets policyer och rutiner efter NIS2
För att fullt ut uppfylla NIS2 bör företag granska och uppdatera sina befintliga policyer och rutiner. Detta kan inkludera uppdateringar av företagets IT-säkerhetspolicy, införande av nya rutiner för riskbedömning och rapportering samt regelbunden revision av dessa rutiner för att säkerställa att de är effektiva och relevanta.
Vill du veta mer?
För att ta nästa steg och säkerställa att ditt företag är förberett för NIS2, rekommenderar vi att du läser den här Expertkommentaren, skriven av experter från Advokatfirman Delphi, och ser webbinariet där experter från Law Sec guidar dig genom direktivet.