Lösningar för förenlighet med NIS2

Krav på att åtgärda risker

Den svenska NIS-regleringen kräver bland annat att de berörda organisationerna genomför åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem samt att man minimerar påverkan av incidenter i dessa. Om en incident ändå inträffar, måste de rapportera den till Myndigheten för samhällsskydd och beredskap (MSB). Målet med de krav som ställs är att undvika störningar på verksamheter som är viktiga för samhället.

NIS2 och förberedelser inför hösten 2024

Under slutet av 2022 beslutade EU om en uppdatering av NIS-direktivet som kallas för NIS2. Medlemsländerna har nu 21 månader på sig att implementera NIS2 i sin nationella lagstiftning innan direktivet börjar gälla för hela EU, vilket sker under hösten 2024. Eftersom NIS2 är en uppdatering av det ursprungliga NIS-direktivet kommer kraven som ställs i NIS-direktivet i stort att kvarstå men kompletteras med bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen.

Målet med det nya direktivet är att höja säkerheten ytterligare, men också förbättra samarbetet mellan EU-länderna. I NIS2 kommer även sektorer som livsmedelsproduktion och offentlig förvaltning att omfattas, samt striktare tillsynsåtgärder att ske. Om en organisation inte uppfyller kraven i NIS2 riskerar dem att behöva betala sanktionsavgifter. Därför är det viktigt för organisationer att förbereda sig och vidta nödvändiga åtgärder för att uppfylla NIS2-kraven. Läs vår sammanfattning av NIS2 om du söker efter mer information kring det nya direktivet.

Några av kraven som behöver uppfyllas är:

• Strategier för riskanalys
• Incidenthanteringsplan
• Planer för verksamhetskontinuitet
• Säkerhet vid anskaffning, utveckling och förvaltning
• Policy och rutiner för att bedöma säkerhetsåtgärder
• Utbildning i informationssäkerhet
• Åtkomstpolicy och hantering av tillgångar
• Multifaktorautentisering
• Kryptering och kryptografi
• Säkerhet i leveranskedjan

ISO 27001 bra grund för NIS2

För att uppfylla kraven i det första NIS-direktivet menar MSB i sina föreskrifter (MSBFS 2018:8) att varje leverantör ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna ISO 27001 och ISO 27002 eller motsvarande. Standarden säkerställer att arbetet kan bedrivas resurseffektivt och att organisationen kan integrera arbetet med informationssäkerhet i den interna styrningen och kontrollen. Då NIS2 är en uppdatering av det första NIS-direktivet är det sannolikt att ett arbetssätt enligt ISO 27001 kommer att vara en bra grund för att efterleva kraven även i NIS2.

Secify har bred erfarenhet av att hjälpa organisationer att implementera ISO 27001, vilket ger en solid grund för att efterleva kraven i både NIS och NIS2. Genom samarbete med berörda organisationer och rådgivare med bakgrund från ansvariga myndigheter har våra rådgivare fått omfattande erfarenhet av att arbeta med ledningssystem för informationssäkerhet och djupgående kunskaper om NIS2-direktivet. Vi övervakar både det aktuella NIS-direktivet och utvecklingen av NIS2, och har aktivt bidragit med webbinarier och artiklar om ämnet.

Kontakta oss om du vill veta mer om hur vi kan hjälpa dig med NIS2