Nu har en uppdaterad version av direktivet introducerats som ska efterlevas senast oktober 2024. Det övergripande syftet är att ytterligare förbättra säkerheten för nätverks- och informationssystem i hela EU genom att införa nya och stärka befintligt krav. Framför allt handlar det om att kunna hantera incidenter på bästa möjliga sätt och ha en ökad förståelse kring cybersäkerhet samt användningen av informationssystem.
NIS-direktivet trädde i kraft 2016 och har varit betydelsefull för flera organisationer. Nu har en uppdaterad version av direktivet introducerats som ska efterlevas senast oktober 2024. Det övergripande syftet är att ytterligare förbättra säkerheten för nätverks- och informationssystem i hela EU genom att införa nya och stärka befintligt krav. Framför allt handlar det om att kunna hantera incidenter på bästa möjliga sätt och ha en ökad förståelse kring cybersäkerhet samt användningen av informationssystem.
utvidga direktivets räckvidd till att omfatta ett bredare spektrum av organisationer, inklusive små och medelstora företag (SMF) och mikroföretag
mer omfattande riskhanterings- och rapporteringskrav, inklusive ett krav på organisationer att rapportera alla incidenter som har en betydande inverkan på kontinuiteten i de väsentliga tjänster som de tillhandahåller
vara noggranna med vilka krav man ställer på leverantörer och underleverantörer vid upphandlingar. Det behöver finnas en kontinuitet bland underleverantörer. Detta innebär att man ska inte endast vara certifierad, eftersom det är viktigt att mäta mognadsgraden av en tjänst.
Dessutom innebär det att samtliga tjänsteleverantörer behöver utse en säkerhetsansvarig och att representanter i ledningsgrupper och styrelser kan bli personligt ansvariga vid incidenter.
Genom att införa ett EU- omfattande certifieringsramverk för nätverk och informationssystem hoppas man uppnå en verkställighets- och övervakningsmekanismen.
Ökade efterlevnadskostnaderna. Detta innebär att organisationer behöver investera i nya säkerhetsåtgärder och processer för incidentrapportering för att möta de nya kraven i direktivet. Detta kan leda till ökade kostnader för vissa organisationer, särskilt små och medelstora företag och mikroföretag som kanske inte har samma resurser som större organisationer. Läs mer om vad en informationstillgång är här.
Den ökade ansvarsskyldigheten för säkerhetsincidenter. Organisationer behöver ta ett större ansvar för incidentrapportering till tillsynsmyndigheter. En första rapport behöver skickas ut inom 24 timmar och en mer omfattande rapport ska skickas ut inom 72 timmar.
Ett ökat samarbete och informationsutbyte. Medlemsstaterna men även offentliga och privata organisationer ska kunna samarbeta och utbyta information på ett effektivare sätt.
Ett ökat fokus på digitala tjänsteleverantörer. Det är viktigt att säkerheten med leverantörer och underleverantörer följs upp med stöd av att genomföra kontinuerliga granskningar och säkerställa deras säkerhetspraxis. Läs mer om OT-säkerhet här.
Ett EU-omfattande certifieringsramverk. Genom att införa och etablera ett EU-omfattande certifieringsramverk för nätverk och informationssystem kan det resultera i att organisationer kan visa att de efterlever direktivet. Det kommer också underlätta det fira flödet av varor och tjänster inom EU.
Ökad tillämpning och övervakning. Detta innebär att mekanismerna för tillsyn och efterlevnad ska förbättras. Vilket kommer bidra till att organisationer säkerställer att direktivet efterlevs och att säkerheten för nätverk och system inom EU hanteras på ett effektivt sätt. Läs även om nyheterna i ISO 27002 här.
Utöver förändringarna i NIS 2, så finns det även ett antal utmaningar som organisationer står inför vid etableringen av direktivet.
Uppfylla och efterleva kraven i direktivet. Organisationer behöver investera i nya och lämpliga säkerhetsåtgärder samt processer för incidentrapportering i syfte för att möta kraven i direktivet. Detta kan vara utmanande för vissa organisationer, framför allt, för små och medelstora organisationer som saknar resurser till skillnad från större organisationer.
Förstå de nya kraven i direktivet. Direktivet innehåller ett antal nya krav och ändringar av befintliga krav. Det kan vara utmanande för organisationer att förstå och efterleva de nya kraven, speciellt om man har en begränsad expertis inom nätverks- och informationssystemsäkerhetsområdet.
Kunna samarbeta och utbyta information. Direktivet syftar till öka samarbetet och informationsutbytet mellan medlemsstaterna samt mellan offentliga och privata organisationer. Detta kan vara utmanande för många organisationer eftersom det kräver samordning och samarbete mellan olika organisationer samt länder.
Utmanande att underhålla certifieringsramverket. Det kan vara utmanande att implementera och underhålla ett EU-omfattande certifieringsramverk för nätverk och informationssystem för mindre organisationer.
Inverkan på försörjningskedjan. Direktivet kommer att ha inverkan på försörjningskedjan för organisationer som faller inom dess tillämpningsområde. Det kan vara utmanande för organisationer att bedöma och hantera säkerhetsnivån för sina partners och leverantörer.
Bristande cybersäkerhetskompetens. Detta kan göra det svårare för organisationer att uppfylla kraven som adresseras i direktivet, vilket kan resultera i att cybersäkerhetsrisker inte hanteras på ett lämpligt och effektivt sätt.
Brist på ekonomiska och mänskliga resurser. Organisationer behöver investera i nya säkerhetsåtgärder, rapporteringsprocesser och personalutbildning vilket kan vara utmanande för organisationer som har en begränsad budget och resurser.
Agila metoder har revolutionerat sättet som organisationer hanterar projekt och utvecklar produkter. Ursprungligen framträdde de inom mjukvaruutveckling, men har sedan ...
Läs bloggen
Vad är en agil leverans? Och hur går det till? I denna artikel förtydligar vi processen genom ett fiktivt kundcase. ...
Läs bloggen
I dagens snabbt föränderliga affärsvärld står företag inför ständiga utmaningar när det gäller att anpassa sig till nya krav och ...
Läs bloggen
