NIS2-direktivet vill säkerställa att alla de organisationer som fyller en viktig funktion för samhället har en hög nivå av cybersäkerhet. Det betyder att företag inom de sektorer som berörs, måste följa det nya NIS2-direktivet som innebär strängare krav på cybersäkerhet.
För att uppnå NIS2 krävs det att man jobbar systematiskt med cybersäkerhet och har de arbetssätt och verktyg som krävs. Vi på Taipuva har stor erfarenhet av att jobba med cybersäkerhet i uppkopplade produkter, vårt fokus är att jobba med produktutvecklingen så produkterna är säkra. Vi hjälper dig gärna med att implementera lösningar för att hantera den komplexiteten NIS2 för med sig.
Vilka sektorer omfattas av NIS2?
I det nuvarande NIS-direktivet finns sju påverkade sektorer: energi, transport, banker, infrastruktur inom finansmarknaden, hälsa, vattenförsörjning och digital infrastruktur. Utöver dessa är nytillkomna sektorer: tillverkning av farmaceutiska produkter inklusive vacciner och kritiska medicintekniska produkter, offentlig förvaltning, och rymd- och flygteknik.
Viktiga sektorer som även kommer att påverkas är post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av andra medicinska apparater, datorer och elektronik, maskinutrustning, motorfordon och digitala leverantörer.
Dessa branscher påverkas av NIS2:
- Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
- Avloppsvatten och avfallshantering
- Tillverkning av vissa väsentliga produkter (t.ex. läkemedel, medicintekniska produkter, och kemikalier)
- Livsmedel
- Digitala tjänster (t.ex. sociala nätverksplattformar och datacentertjänster)
- Flyg- och rymdteknik
- Post- och kurirtjänster
- Offentlig förvaltning
Strängare krav på cybersäkerhet
Varje verksamhet som berörs kommer att behöva ha en välorganiserad incidenthantering, ett strukturerat förhållningssätt till riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Det betyder att du behöver jobba systematiskt och strukturerat med informationssäkerhet.
NIS2 direktivet kom till för att organisationer ska hålla en hög säkerhetsnivå, därför kommer NIS2 kräva att organisationer uppfyller strikta krav för:
- Slutförandet av riskbedömning och innehavandet av tillräckliga IT-säkerhetspolicys
- Att på ett lämpligt sätt upptäcka, förhindra och reagera på incidenter gällande IT-säkerhet
- Krishantering och operativ kontinuitet i händelse av en större cyberincident
- Säkerställandet av att leveranskedjor, inklusive leverantörer av databehandling och lagringstjänster är säkra
- Säkerställandet av att nätverk och informationssystem, från anskaffande till underhåll är säkra
- Innehavandet av riktlinjer som bedömer effektiviteten i riskhanteringsmetoderna för cybersäkerhet.
- Användning av kryptografi och kryptering
När kommer NIS2 att träda i kraft?
Direktivet antogs av Europaparlamentet 10 november 2022, och väntar nu på ett slutligt godkännande av EU-rådet. Därefter har medlemsländer 21 månader på sig att att implementera direktivet i sin lagstiftning, så för Sveriges del kommer troligtvis NIS2 börja gälla som lag i Sverige runt 1 september 2024. Om du har verksamhet inom de berörda sektorerna är det hög tid att förbereda sig för att möta kraven på hög säkerhetsnivå.
Vad händer om man inte följer NIS2?
Det kan bli dryga böter om man inte följer NIS2, storleken på böter beror på hur stor din organisation är, som exempel kan ett företag som bryter mot någon av av direktiven för NIS2 få böta 10 miljoner euro, eller 2% av organisationens totala årliga bruttointäkt. Dessutom kan personer inom organisationens ledning hållas personligen ansvarig för överträdelsen.
Hur kan jag förbereda mig?
För att uppfylla EU-direktivet NIS2 behövs effektiva verktyg för att kunna hantera, efterleva och arbeta systematiskt med alla de krav och regulatoriska ramverk som finns inom respektive sektor.
Vi på Taipuva hjälper dig gärna med detta för att efterleva alla de krav och regler som NIS2 för med sig. Till exempel kan vi hjälpa till med att implementera TARA (Threat Assessment and Risk Analysis, som är en metod för att snabbt kunna identifiera och bedöma cybersårbarheter, och som gör att du kan göra de åtgärder som krävs för att mildra dessa sårbarheter.
Taipuva står redo att hjälpa dig att strukturera ditt arbete med cybersäkerhet genom verktyget Polarion, för att underlätta komplexiteten som kommer med cybersäkerhet och riskhantering.
Cybersäkerhet inom produktutveckling
Ola Larses, Lead Consultant på Taipuva berättade under Polarion Days om hur viktigt det är att förstå risker genom att förutse scenarion för att skydda produktsäkerhete. TARA (threat analysis and risk assessment) är ett verktyg för just detta, och en nyckelfaktor när man ska analysera risker för cyberattacker.
Siemens Polarion® ALM – take control
Get a holistic view, traceability and transparency for all product development and project management information. Everyone is aligned around what is being built while protecting integrity and compliance.