Implementera NIS2

Vad är NIS2?

NIS2-direktivet syftar till att harmonisera säkerhetsnivåer för nätverk och informationssystem inom EU. En viktig skillnad jämfört med tidigare direktiv är tydligare ansvarsfördelning och rapportering av incidenter, med ett stort fokus på cybersäkerhet.

Ansvariga
VD och styrelse är ytterst ansvariga för att följa direktivet och detta ansvar kan inte delegeras. I extrema fall kan de bli personligt ansvariga.

Incidenthantering

NIS2 ställer specifika tidsramar för incidenthantering:

Tidigt varsel: Inom 24 timmar efter att en incident upptäckts ska en tidig varning skickas till relevant myndighet eller CSIRT.
Incidentanmälan: Inom 72 timmar efter upptäckt ska en detaljerad rapport lämnas in.
Slutlig rapport: En slutlig rapport ska lämnas inom en månad, innehållande fullständig beskrivning av incidenten, dess hottyp, vidtagna åtgärder och påverkan.

NIS2-direktivet

NIS2 är EU:s lagstiftning om cybersäkerhet, avsedd att stärka säkerheten inom unionen. Medlemsländer måste implementera direktivet senast 18 oktober 2024, med svensk lagstiftning som träder i kraft 1 januari 2025 enligt regeringens förslag.

Hur går man till väga

För att implementera dessa åtgärder bör man börja med en workshop där organisationens berörda delar deltar. Identifiera nuläget och ta fram en aktivitetslista, en så kallad GAP-analys. Om din verksamhet redan följer tidigare NIS-krav kan det räcka med att komplettera vissa områden för att nå NIS2-efterlevnad.

Steg ett är att sätta sig i en workshop, gå igenom kravbilden och arbeta fram effektmålen och nödvändiga aktiviteter för att uppnå dem. Ett sätt är att skapa ett projekt för att driva utvecklingen mot NIS2-redo status.

Advitum har tagit fram en mall för hur ett sådant arbete kan fungera i en organisation.
Kontakta gärna oss för mer information.

För mer information om NIS2-direktivet och de svenska myndigheternas roller kan du besöka:

Nödvändiga säkerhetsåtgärder:

Autentisering
Behörighets- och accesskontroll
Cyberhygien och utbildning
Incidenthantering
Kontinuitetsplanering och krishantering
Krypteringspolicy och processer
Riskhantering och säkerhetspolicy
Säker leverantörskedja
Säkra nätverks- och informationssystem

Sektorer och branscher som omfattas:

Energisektorn
Transportsektorn
Bank- och finanssektorn
Hälso- och sjukvård
Digitala tjänsteleverantörer
Vattenförsörjning och avloppshantering
Offentlig förvaltning
Livsmedels- och jordbrukssektorn
Kemikalieindustrin
Digitala tjänster för allmänheten

Förberedelser för NIS2

Bedöm påverkan och täckning:
1. Fastställ om din organisation omfattas av NIS2.
1. Samarbeta med experter eller konsulter specialiserade på NIS2.
Styrelsemedvetenhet och planering:
1. Utbilda styrelsen om NIS2 och dess konsekvenser.
1. Utveckla en plan för att hantera krav.
Tilldela resurser:
1. Avsätt budgetar för NIS2-efterlevnad.
1. Bilda ett dedikerat team för övervakning.
Tidig implementering:
1. Börja implementera åtgärder, strategier och rutiner nu för att säkerställa efterlevnad senast 2024.
1. Använd säkerhetslösningar som Microsofts produkter i linje med NIS2.
Riskanalys och kartläggning:
1. Identifiera kritiska verksamheter och informationssystem.
1. Utvärdera risker och sårbarheter.
Utbildning och medvetenhet:
1. Se till att medarbetarna är medvetna om cybersäkerhetsrisker och utbildade i säkerhetsåtgärder och incidenthantering.
Implementera säkerhetsåtgärder:
1. Autentisering och behörighetskontroll
1. Kryptering för att skydda känslig information
1. Incidenthanteringsprocess
1. Tydliga säkerhetspolicyer och processer
1. Säker leverantörskedja
1. Överväg att implementera ISMS enligt ISO 27001
Samarbete och informationsutbyte:
1. Delta i samarbeten inom din sektor för att identifiera hot och bästa praxis.
Uppdatera IT-infrastruktur:
1. Förbättra nätverks- och informationssystem, uppdatera programvara och säkerhetspatchar.
Öva och testa:
1. Genomför regelbundna övningar och tester för att säkerställa säkerhetsåtgärdernas effektivitet.

Implementera NIS2

Implementera NIS2

Vad är NIS2?

Related Course