Cybersakerhetslagen NIS2

Cybersäkerhetslagen (NIS2) – omfattas din organisation?

Sverige inför Cybersäkerhetslagen (NIS2) – den nationella lag som genomför EU:s NIS2-direktiv. Den skärper kraven på cybersäkerhet för betydligt fler organisationer än tidigare, och ledningen bär nu ett personligt ansvar. Här går vi igenom vad lagen innebär, om ni omfattas och hur ni kommer igång.

Vad är NIS2 och Cybersäkerhetslagen?

NIS2 (direktiv 2022/2555) är EU-direktivet som höjer den gemensamma cybersäkerhetsnivån. I Sverige genomförs det genom Cybersäkerhetslagen (NIS2), med tillsyn och sanktionsavgifter. Lagen utökar både vilka som omfattas och vilka krav som ställs jämfört med tidigare NIS-reglering.

Omfattas ni?

Lagen delar in organisationer i väsentliga och viktiga entiteter inom ett stort antal sektorer – bland annat energi, transport, bank och finans, hälsa, vatten och avlopp, digital infrastruktur, IT-drifttjänster, offentlig förvaltning, tillverkning, livsmedel och avfall. Som tumregel omfattas medelstora och större organisationer (från cirka 50 anställda eller 10 miljoner euro i omsättning), men det finns undantag åt båda hållen. Är ni osäkra bör ni göra en formell bedömning – det är verksamhetens ansvar att veta.

Vad kräver Cybersäkerhetslagen (NIS2)?

  • Riskhanteringsåtgärder: policyer, incidenthantering, kontinuitet och backup, leverantörskedjans säkerhet, kryptering, åtkomstkontroll och multifaktorautentisering samt utbildning av personalen.
  • Incidentrapportering: tidig varning inom 24 timmar, anmälan inom 72 timmar och en slutrapport inom en månad.
  • Ledningsansvar: styrelse och ledning ska godkänna och följa upp säkerhetsarbetet, kan hållas ansvariga, och sanktionsavgifterna är kännbara (för väsentliga entiteter upp till 10 miljoner euro eller 2 procent av global omsättning).

Så kommer ni igång

  1. Avgör om ni omfattas och som vilken typ av entitet.
  2. Gör en gap-analys mot lagens krav – var står ni idag?
  3. Bygg eller anpassa ett ledningssystem för informationssäkerhet (LIS/ISMS). ISO 27001 är en utmärkt grund som täcker en stor del av kraven.
  4. Säkra leverantörskedjan och etablera rutiner för incidenthantering och rapportering.
  5. Utbilda personalen – människan är den vanligaste ingången. Vi erbjuder säkerhetsmedvetenhetsträning via Nimblr.

NIS2-konsult i Skåne

Vi hjälper organisationer i Skåne att förstå om de omfattas av Cybersäkerhetslagen (NIS2), göra gap-analysen och bygga ett strukturerat säkerhetsarbete som håller för tillsyn – kopplat till vår tjänst inom informationssäkerhet & styrning. Boka ett kostnadsfritt möte så tittar vi på ert läge.

Detta är en översikt och inte juridisk rådgivning. Kontakta oss för en bedömning av just er verksamhet.