Branschnyhet

Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

Med:
Jonathan Sörman
insight featured image
Den 14 december 2022 beslutade EU om ett nytt direktiv som tar sikte på informations- och cybersäkerhet för samhällsviktiga tjänster. Vad är bakgrunden och vilka nyheter medför regelverket?
Innehåll

Bakgrund till regelverket

I direktivet, ”Network and Information Systems 2 Directive” (NIS 2-direktivet, eller direktiv (EU) 2022/2555), framgår att nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället. Utvecklingen innebär en utvidgad cyberhotbild och att incidenter blir mer sofistikerade, omfattande och vanligt förekommande.

Beredskap och ändamålsenlighet på cybersäkerhetsområdet är centralt för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar. Givet dessa förutsättningar syftar NIS 2 till att uppnå en hög gemensam cybersäkerhetsnivå inom EU.

Christer Runestam , Head of Financial Services Advisory
Säkerhetsfrågor, givet omvärldsutvecklingen, blir alltmer aktuella för organisationer, särskilt sådana som är samhällsviktiga. För att skapa en motståndskraft inom organisationer krävs ett holistiskt och dynamiskt arbete med att identifiera och hantera både externa och interna risker.

Från NIS 1 till NIS 2

I dagsläget gäller NIS-direktivet (direktiv (EU) 2016/1148), men genom NIS 2-direktivet upphör NIS-direktivet att gälla med verkan från och med den 18 oktober 2024. Samma datum ska EU:s medlemsstater ha säkerställt lokal implementering av NIS 2. För att vara redo när lokal reglering som implementerar direktivet börjar gälla är det viktigt för aktörer som omfattas att hålla sig uppdaterade om det lokala implementeringsarbetet.

Läs även
Fem åtgärder för att skydda företaget mot cyberangrepp 2023
Läs denna artikel
Fem åtgärder för att skydda företaget mot cyberangrepp 2023

Nyheter med NIS 2

NIS 2 innebär flera förändringar jämfört med NIS-direktivet. Några av de viktigaste är:

  • Tillämpningsområdet utökas till att omfatta flera sektorer. Sedan tidigare omfattas aktörer inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Med det nya direktivet tillkommer aktörer inom sektorer som bl.a. förvaltning av IKT-tjänster, offentlig förvaltning, avfallshantering, post- och budtjänster, produktion, bearbetning och distribution av livsmedel, tillverkning, m.fl. Regelverket ställer även krav på säkerhet i leveranskedjan för aktörer som omfattas, varför vissa aspekter indirekt blir relevanta för underleverantörer.
  • Skärpta säkerhetskrav och åtgärder för att skydda nätverks- och informationssystem och dessa systems fysiska miljö från incidenter. I detta avseende lyfter NIS 2 bl.a. säkerhet i leveranskedjan, driftskontinuitet, incidenthantering, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, användning av multifaktorautentisering och säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem.
  • Strängare tillsyn och administrativa sanktionsåtgärder. Inom ramen för NIS 2 utökas tillsynsmyndigheternas mandat när det gäller bl.a. regelbundna och riktade säkerhetsrevisioner, inklusive ad hoc-revisioner och säkerhetsskanningar, samt tillgång till uppgifter, handlingar och information. Under NIS 2 kommer sanktionsavgifter vid bristande regelefterlevnad att kunna uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, alternativt 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna.
Johan Sarasalo , Head of BRS Corporate
Vi ser att kraven på företag i den digitala leveranskedjan till en organisation som omfattas av NIS 2 ökar och att det är avgörande för dessa underleverantörer att möta NIS 2-kraven i sina leveranser för att få fortsatt leverera och kunna tillhandahålla ett konkurrenskraftigt erbjudande.

NIS 2 och CER-direktivet

NIS 2-direktivet har till viss del samordnats och har vissa likheter med EU:s CER-direktiv (Critical Entities Resilience Directive, eller direktiv (EU) 2022/2557), vilket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter. Därav gäller samma datum för lokal implementering som för NIS 2 (18 oktober 2024). Även sektorer som omfattas är snarlika då CER-direktivet tar sikte på aktörer inom sektorer som energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, produktion, bearbetning och distribution av livsmedel m.m.

CER-direktivet ställer krav på aktörer som omfattas av direktivet när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritiska infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram.

Läs även
Cyberhoten ökar mot företag - så skyddar du dig
Läs denna artikel
Cyberhoten ökar mot företag - så skyddar du dig

Implementering och väg framåt

För svensk del kommer frågan om lokal implementering av både NIS 2 och CER behandlas av en särskild utredare inom ramen för Kommittédirektiv Dir. 2023:30. Detta uppdrag ska redovisas senast den 23 februari 2024 och i samband med detta kommer aspekter i förhållande till lokal svensk implementering förhoppningsvis bli tydligare.

Tjänster
Vi kan hjälpa er med: Cybersäkerhet
Jag vill veta mer
Vi kan hjälpa er med: Cybersäkerhet

Vi hjälper dig!

Grant Thornton har bred kompentens inom IKT-riskhantering, affärskontinuitet och säkerhetsfrågor, både vad gäller regelverksfrågor och IT-teknisk kunskap, och kan hjälpa ditt företag med frågor som rör NIS 2 och CER. Exempel på tjänster vi erbjuder är utbildningar, workshops och gapanalyser i förhållande till regelverk, samt ytterligare råd och stöd för en lyckad implementering.

Tveka inte att kontakt våra experter nedan om du har några frågor eller funderingar!

Johan Sarasalo

Head of BRS Corporate

Läs mer och kontakta Johan Sarasalo

Christer Runestam

Expert mot samhällsviktiga verksamheter och branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam