Branschnyhet

Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

Med:
Christer Runestam,
Johan Sarasalo,
Jonathan Sörman
11 sep. 20235 min lästid
insight featured image
Den 14 december 2022 beslutade EU om ett nytt direktiv som tar sikte på informations- och cybersäkerhet för samhällsviktiga tjänster. Vad är bakgrunden och vilka nyheter medför regelverket?
Innehåll

Bakgrund till regelverket

I direktivet, ”Network and Information Systems 2 Directive” (NIS 2-direktivet, eller direktiv (EU) 2022/2555), framgår att nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället. Utvecklingen innebär en utvidgad cyberhotbild och att incidenter blir mer sofistikerade, omfattande och vanligt förekommande.

Beredskap och ändamålsenlighet på cybersäkerhetsområdet är centralt för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar. Givet dessa förutsättningar syftar NIS 2 till att uppnå en hög gemensam cybersäkerhetsnivå inom EU.

Christer Runestam
Christer Runestam , Head of Financial Services Advisory
Säkerhetsfrågor, givet omvärldsutvecklingen, blir alltmer aktuella för organisationer, särskilt sådana som är samhällsviktiga. För att skapa en motståndskraft inom organisationer krävs ett holistiskt och dynamiskt arbete med att identifiera och hantera både externa och interna risker.

Från NIS 1 till NIS 2

I dagsläget gäller NIS-direktivet (direktiv (EU) 2016/1148), men genom NIS 2-direktivet upphör NIS-direktivet att gälla med verkan från och med den 18 oktober 2024. Samma datum ska EU:s medlemsstater ha säkerställt lokal implementering av NIS 2. För att vara redo när lokal reglering som implementerar direktivet börjar gälla är det viktigt för aktörer som omfattas att hålla sig uppdaterade om det lokala implementeringsarbetet.

Fem åtgärder för att skydda företaget mot cyberangrepp 2023
Läs även
Fem åtgärder för att skydda företaget mot cyberangrepp 2023
Läs denna artikel

Nyheter med NIS 2

NIS 2 innebär flera förändringar jämfört med NIS-direktivet. Några av de viktigaste är:

  • Tillämpningsområdet utökas till att omfatta flera sektorer. Sedan tidigare omfattas aktörer inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Med det nya direktivet tillkommer aktörer inom sektorer som bl.a. förvaltning av IKT-tjänster, offentlig förvaltning, avfallshantering, post- och budtjänster, produktion, bearbetning och distribution av livsmedel, tillverkning, m.fl. Regelverket ställer även krav på säkerhet i leveranskedjan för aktörer som omfattas, varför vissa aspekter indirekt blir relevanta för underleverantörer.
  • Skärpta säkerhetskrav och åtgärder för att skydda nätverks- och informationssystem och dessa systems fysiska miljö från incidenter. I detta avseende lyfter NIS 2 bl.a. säkerhet i leveranskedjan, driftskontinuitet, incidenthantering, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, användning av multifaktorautentisering och säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem.
  • Strängare tillsyn och administrativa sanktionsåtgärder. Inom ramen för NIS 2 utökas tillsynsmyndigheternas mandat när det gäller bl.a. regelbundna och riktade säkerhetsrevisioner, inklusive ad hoc-revisioner och säkerhetsskanningar, samt tillgång till uppgifter, handlingar och information. Under NIS 2 kommer sanktionsavgifter vid bristande regelefterlevnad att kunna uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, alternativt 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna.
Johan Sarasalo
Johan Sarasalo , Head of BRS Corporate
Vi ser att kraven på företag i den digitala leveranskedjan till en organisation som omfattas av NIS 2 ökar och att det är avgörande för dessa underleverantörer att möta NIS 2-kraven i sina leveranser för att få fortsatt leverera och kunna tillhandahålla ett konkurrenskraftigt erbjudande.

NIS 2 och CER-direktivet

NIS 2-direktivet har till viss del samordnats och har vissa likheter med EU:s CER-direktiv (Critical Entities Resilience Directive, eller direktiv (EU) 2022/2557), vilket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter. Därav gäller samma datum för lokal implementering som för NIS 2 (18 oktober 2024). Även sektorer som omfattas är snarlika då CER-direktivet tar sikte på aktörer inom sektorer som energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, produktion, bearbetning och distribution av livsmedel m.m.

CER-direktivet ställer krav på aktörer som omfattas av direktivet när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritiska infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram.

Cyberhoten ökar mot företag - så skyddar du dig
Läs även
Cyberhoten ökar mot företag - så skyddar du dig
Läs denna artikel

Implementering och väg framåt

För svensk del kommer frågan om lokal implementering av både NIS 2 och CER behandlas av en särskild utredare inom ramen för Kommittédirektiv Dir. 2023:30. Detta uppdrag ska redovisas senast den 23 februari 2024 och i samband med detta kommer aspekter i förhållande till lokal svensk implementering förhoppningsvis bli tydligare.

Vi kan hjälpa er med: Cybersäkerhet
Tjänster
Vi kan hjälpa er med: Cybersäkerhet
Jag vill veta mer

Vi hjälper dig!

Grant Thornton har bred kompentens inom IKT-riskhantering, affärskontinuitet och säkerhetsfrågor, både vad gäller regelverksfrågor och IT-teknisk kunskap, och kan hjälpa ditt företag med frågor som rör NIS 2 och CER. Exempel på tjänster vi erbjuder är utbildningar, workshops och gapanalyser i förhållande till regelverk, samt ytterligare råd och stöd för en lyckad implementering.

Tveka inte att kontakt våra experter nedan om du har några frågor eller funderingar!

Johan Sarasalo

Head of BRS Corporate

Läs mer och kontakta Johan Sarasalo

Christer Runestam

Expert mot samhällsviktiga verksamheter och branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam
Taggar  

Senaste nytt

Se fler artiklar
Möjlighet till högre momsavdrag för fastigheter med bostäder och lokaler
Skattenyhet Möjlighet till högre momsavdrag för fastigheter med bostäder och lokaler
Nu kan företag och föreningar ha rätt till högre momsavdrag när de har fastigheter med både bostäder och lokaler. För att inte gå miste om möjliga avdrag kan det vara nödvändigt att agera redan innan årsskiftet. Det menar Grant Thorntons experter som följt frågan länge.
Martin Jacobsson
Cecilia Smedfors
| 6 min lästid | 20 nov. 2024
Experternas råd för att undvika konkurs: var proaktiv och agera i tid
Tips och råd Experternas råd för att undvika konkurs: var proaktiv och agera i tid
Många företag – oavsett storlek - möter nu svårare ekonomiska utmaningar. Då gäller det att vara uppmärksam på företagets likviditet för att undvika konkurs. Johan Andersson, auktoriserad revisor och partner på Grant Thornton, berättar tillsammans med Erik Hellström på Ackordcentralen, hur du ska agera när kassaflödet minskar och varför konkurs inte behöver vara enda vägen ut.
Johan Andersson
Johan Andersson
| 8 min lästid | 08 okt. 2024
Klimatomställningens betydelse för företagens framgång
Nyhet Klimat­omställningens betydelse för företagens framgång
De geopolitiska risker som finns globalt är en stor fråga för näringslivet, det menar Tommy Borglund, forskare vid Örebro Universitet. Företagen behöver därför förhålla sig till den utveckling som finns, där flera länder rör sig allt närmare en diktatur eller gråzon i stället för en demokrati.
6 min lästid | 25 sep. 2024
    Se fler artiklar