Nu har en uppdaterad version av direktivet introducerats som ska efterlevas senast oktober 2024. Det övergripande syftet är att ytterligare förbättra säkerheten för nätverks- och informationssystem i hela EU genom att införa nya och stärka befintligt krav. Framför allt handlar det om att kunna hantera incidenter på bästa möjliga sätt och ha en ökad förståelse kring cybersäkerhet samt användningen av informationssystem.
NIS-direktivet trädde i kraft 2016 och har varit betydelsefull för flera organisationer. Nu har en uppdaterad version av direktivet introducerats som ska efterlevas senast oktober 2024. Det övergripande syftet är att ytterligare förbättra säkerheten för nätverks- och informationssystem i hela EU genom att införa nya och stärka befintligt krav. Framför allt handlar det om att kunna hantera incidenter på bästa möjliga sätt och ha en ökad förståelse kring cybersäkerhet samt användningen av informationssystem.
utvidga direktivets räckvidd till att omfatta ett bredare spektrum av organisationer, inklusive små och medelstora företag (SMF) och mikroföretag
mer omfattande riskhanterings- och rapporteringskrav, inklusive ett krav på organisationer att rapportera alla incidenter som har en betydande inverkan på kontinuiteten i de väsentliga tjänster som de tillhandahåller
vara noggranna med vilka krav man ställer på leverantörer och underleverantörer vid upphandlingar. Det behöver finnas en kontinuitet bland underleverantörer. Detta innebär att man ska inte endast vara certifierad, eftersom det är viktigt att mäta mognadsgraden av en tjänst.
Dessutom innebär det att samtliga tjänsteleverantörer behöver utse en säkerhetsansvarig och att representanter i ledningsgrupper och styrelser kan bli personligt ansvariga vid incidenter.
Genom att införa ett EU- omfattande certifieringsramverk för nätverk och informationssystem hoppas man uppnå en verkställighets- och övervakningsmekanismen.
Ökade efterlevnadskostnaderna. Detta innebär att organisationer behöver investera i nya säkerhetsåtgärder och processer för incidentrapportering för att möta de nya kraven i direktivet. Detta kan leda till ökade kostnader för vissa organisationer, särskilt små och medelstora företag och mikroföretag som kanske inte har samma resurser som större organisationer.
Den ökade ansvarsskyldigheten för säkerhetsincidenter. Organisationer behöver ta ett större ansvar för incidentrapportering till tillsynsmyndigheter. En första rapport behöver skickas ut inom 24 timmar och en mer omfattande rapport ska skickas ut inom 72 timmar.
Ett ökat samarbete och informationsutbyte. Medlemsstaterna men även offentliga och privata organisationer ska kunna samarbeta och utbyta information på ett effektivare sätt.
Ett ökat fokus på digitala tjänsteleverantörer. Det är viktigt att säkerheten med leverantörer och underleverantörer följs upp med stöd av att genomföra kontinuerliga granskningar och säkerställa deras säkerhetspraxis.
Ett EU-omfattande certifieringsramverk. Genom att införa och etablera ett EU-omfattande certifieringsramverk för nätverk och informationssystem kan det resultera i att organisationer kan visa att de efterlever direktivet. Det kommer också underlätta det fira flödet av varor och tjänster inom EU.
Ökad tillämpning och övervakning. Detta innebär att mekanismerna för tillsyn och efterlevnad ska förbättras. Vilket kommer bidra till att organisationer säkerställer att direktivet efterlevs och att säkerheten för nätverk och system inom EU hanteras på ett effektivt sätt.
Utöver förändringarna i NIS 2, så finns det även ett antal utmaningar som organisationer står inför vid etableringen av direktivet.
Uppfylla och efterleva kraven i direktivet. Organisationer behöver investera i nya och lämpliga säkerhetsåtgärder samt processer för incidentrapportering i syfte för att möta kraven i direktivet. Detta kan vara utmanande för vissa organisationer, framför allt, för små och medelstora organisationer som saknar resurser till skillnad från större organisationer.
Förstå de nya kraven i direktivet. Direktivet innehåller ett antal nya krav och ändringar av befintliga krav. Det kan vara utmanande för organisationer att förstå och efterleva de nya kraven, speciellt om man har en begränsad expertis inom nätverks- och informationssystemsäkerhetsområdet.
Kunna samarbeta och utbyta information. Direktivet syftar till öka samarbetet och informationsutbytet mellan medlemsstaterna samt mellan offentliga och privata organisationer. Detta kan vara utmanande för många organisationer eftersom det kräver samordning och samarbete mellan olika organisationer samt länder.
Utmanande att underhålla certifieringsramverket. Det kan vara utmanande att implementera och underhålla ett EU-omfattande certifieringsramverk för nätverk och informationssystem för mindre organisationer.
Inverkan på försörjningskedjan. Direktivet kommer att ha inverkan på försörjningskedjan för organisationer som faller inom dess tillämpningsområde. Det kan vara utmanande för organisationer att bedöma och hantera säkerhetsnivån för sina partners och leverantörer.
Bristande cybersäkerhetskompetens. Detta kan göra det svårare för organisationer att uppfylla kraven som adresseras i direktivet, vilket kan resultera i att cybersäkerhetsrisker inte hanteras på ett lämpligt och effektivt sätt.
Brist på ekonomiska och mänskliga resurser. Organisationer behöver investera i nya säkerhetsåtgärder, rapporteringsprocesser och personalutbildning vilket kan vara utmanande för organisationer som har en begränsad budget och resurser.
Det första intrycket är viktigt. Både när vi möter nya människor och när vi kommer in på vår nya arbetsplats ...
Läs bloggen
Som IT-ansvarig är en allt viktigare uppgift att onboarding och offboarding fungerar smidigt och effektivt. Det är inte bara en ...
Läs bloggen
Vad kan myndigheter och verksamheter göra för att minimera säkerhetsriskerna och att information kommer i fel händer? Att säkra upp ...
Läs bloggen
