NIS 2-direktivet

NIS 2-direktivet är ett EU-direktiv som syftar till att säkerställa en hög gemensam cybersäkerhetsnivå i Europeiska unionen. Det ersätter det ursprungliga NIS-direktivet från 2016 och skärper säkerhetskraven, adresserar säkerheten i leveranskedjor och inför harmoniserade sanktioner. NIS 2-direktivet antogs i slutet av 2022 i EU genom Europaparlamentet och rådet och ska tillämpas i EU sedan den 18 oktober 2024. Medlemsländerna måste införliva direktivet i sin nationella lagstiftning.

NIS 2 behandlar huvudsakligen krav på företag:

Medan NIS 1-direktivet framför allt gällde kritisk infrastruktur och leverantörer av relevanta digitala tjänster utvidgar NIS 2-direktivet sektorerna kopplade till tillverkningsindustrin: maskintillverkning, tillverkare av databehandlingsutrustning, elektroniska och optiska produkter, elektrisk utrustning, motorfordon och delar till motorfordon samt annan fordonstillverkning. Inom dessa branscher berörs företag med fler än 50 medarbetare eller en årsomsättning eller ett bokslut på mer än 10 miljoner euro.

För att uppfylla kraven i NIS 2 måste berörda organisationer vidta flera åtgärder, bland annat:

• Riskhantering: implementering av processer för identifiering och bedömning av risker.
• Säkerhetsåtgärder: införande av tekniska och organisatoriska åtgärder för riskreducering.
• Rapportering av incidenter: upprättande av rutiner för rapportering av säkerhetsincidenter till berörda myndigheter.
• Övervakning och granskningar: regelbunden kontroll och utvärdering av säkerhetsåtgärder.

NIS 2 implementeras av nationella myndigheter i EU:s medlemsländer, som ansvarar för att kraven i direktivet efterlevs. I Tyskland är den federala myndigheten för informationssäkerhet (Bundesamt für Sicherheit in der Informationstechnik, BSI) ansvarig myndighet.

Åtgärder för implementering:

1. Rapporteringsskyldighet: företag måste rapportera säkerhetsincidenter. I och med NIS 2 införs ett rapporteringssystem med tre nivåer för ökad transparens och förbättrad reaktionsförmåga.
2. Tillsynsåtgärder: den tyska federala myndigheten för informationssäkerhet (Bundesamt für Sicherheit in der Informationstechnik, BSI) har utökade befogenheter att genomföra granskningar och inspektioner för att kontrollera att säkerhetskraven efterlevs.
3. Sanktioner: om kraven i direktivet inte efterlevs kan det medföra olika sanktioner beroende på hur allvarlig överträdelsen är.

Stöd och rådgivning:
BSI tillhandahåller berörda företag stöd och rådgivning för att underlätta implementeringen av NIS 2. Företag bör proaktivt vidta åtgärder för att förbättra sin IT-säkerhet och förbereda sig för de nya kraven. Europeiska unionens cybersäkerhetsbyrå (ENISA) erbjuder en mängd användbar information om cybersäkerhet.

NIS 2, Cyber Resilience Act och maskinförordningen utgör delar av ett omfattande EU-regelverk för att stärka cybersäkerheten och cyberresiliensen. Medan NIS 2 fokuserar på säkerheten i nätverk, informationssystem och krav på företagsnivå, syftar Cyber Resilience Act till att förbättra cybersäkerheten för produkter med digitala element. Maskinförordningen kompletterar dessa åtgärder genom att fastställa säkerhetskrav för maskiner och industriella produkter.

• Ytterligare krav inom industrial security (bl.a. IEC 62443)
• EU:s cybersäkerhetsbyrå (ENISA)