NIS2-direktivet - hur du påverkas
NIS2: Viktiga förändringar inom cybersäkerhet
EU med sina 27 medlemsländer är just nu global ledare inom digital säkerhet dvs skyddet mot fientliga attacker på digitala strukturer och system. Allt fler IT-incidenter sker i syfte med att påverka samhällets väsentliga och viktiga verksamheter. Det kan handla om att välta hela IT-system, vränga inbyggda funktioner utan systemägarnas kännedom, eller ren och skär sabotage. EU vill därmed skydda den gemensamma marknaden som är allt mer beroende av en hög digital mognad. Genom att medlemsländerna implementerar NIS2 och en rad andra direktiv höjs den gemensamma motståndskraften mot cyberhot.
Den höga graden av automatisering och digitalisering inom OT hos tillverkande industri är ett område som kommer att beröras starkt av NIS2. Företagen måste börja beakta hygienkraven inom cyber security under hela livcykeln av produkter och tjänster. Detta innebär många nya rutiner och processer för att hålla en hög säkerhetsnivå i organisationen. Afry har en lång erfarenhet implementering av ett ledningssystem för systematiskt säkerhetsarbete, och kan stötta i förändringsprocessens alla delar.
Så förbereder du dig utifrån NIS2
-
Träffas din verksamhet? Bedömning enligt direktivet
-
Identifiera och analysera hot och sårbarheter
-
Kartlägg verksamheten, leverantörskedjan och samverkan med andra
-
Utforma en strategi för att åtgärda sårbarheter och skapa ett ledningssystem
-
Utbilda alla i verksamheten – skapa en säkerhetskultur
NIS2 -direktivet bygger på tjänster som redan katalogiserats i NIS -direktivet
NIS2 delar upp verksamheterna och tjänsterna som omfattas av direktivet till väsentliga och viktiga entiteter. Tillsynsmyndigheter kan göra proaktiva oanmälda kontroller och har en rad sanktioner till sitt förfogande när det gäller de väsentliga entiteterna, men när det gäller de viktiga entiteterna måste tillsyn vara motiverad på förhand av en incident, brist eller avvikelse.
NIS2-direktivet utökar tillsyn
Rapportering till den europeiska kommissionen och till EU:s myndighet för cybersäkerhet ENISA kommer att bli mer omfattande än tidigare och tillsynsmöjligheterna utökas likaså. Tillsyn för de väsentliga enheterna - Essential Entities – ska enligt NIS2 vara proaktiv, vilket innebär att tillsynsmyndigheten kan göra tillsynsbesök utan någon incident, anmälan eller misstanke om avvikelser. För de viktiga enheterna - Important Entities – gäller det även i fortsättning en reaktiv tillsyn, som baseras på någon på förhand väldefinierad orsak.
- Samhällsviktiga verksamheter som kommer att innefattas av NIS2
- Samhällsviktiga verksamheter som redan innefattas av NIS1
- Essential Entities - Väsentliga entiteter
- Important Entities - Viktiga entiteter
-
Post- och budhantering
-
Avfallshantering
-
Mat
-
Medicinsk utrustning
-
Digitala marknadsplatser
-
Sökmotorer
-
Samhällsadministration
-
MSP och MSSP
-
Kemikalier
-
Sociala nätverk
-
Rymdtjänster
-
Avlopp
-
Energi (Fjärrvärme, kyla, el, olja, gas, vätgas)
-
Gas, inkl. biogas och vätgas
-
Transporter
-
Bank och finans
-
Hälsovård, inkl. labb och forskning
-
Dricksvatten
-
Digital infrastruktur
-
Energi (fjärrvärme, kyla, el, olja, gas, vätgas)
-
Transporter (luft, järnväg, sjöfart, vägar)
-
Rymdtjänster
-
Bank och finansmarknadsinfrastrukture (betaltjänster, osv)
-
Dricksvatten och avlopp
-
Digital infrastruktur
-
Samhällsadministration (offentlig förvaltning)
-
Posthantering
-
Mat
-
Medicinsk utrustning
-
Digitala marknadsplatser
-
Sökmotorer
-
MSP och MSSP
-
Kemikalier
-
Hälsovård inkl. labb och forskning
-
Gas inkl. biogas och vätgas
-
Sociala nätverk
