.png)
NIS2 är EU:s cybersäkerhetsdirektiv, som bygger vidare på sin föregångare för att säkerställa starkare skydd och motståndskraft. I denna bloggartikel tittar vi närmare på den nationella implementeringen som krävs enligt NIS2-direktivet och tar en titt på de lokala lagarna: vilka finns tillgängliga på Cyberday och hur skiljer de sig från EU-direktivet?
NIS2-direktivet är en uppdaterad version av det ursprungliga NIS-direktivet, som utvidgar tillämpningsområdet för det ursprungliga direktivet och syftar till att stärka cybersäkerheten i hela EU. NIS2-direktivet är tillämpligt på ett stort antal sektorer som är kritiska för ekonomins funktion, t.ex. energi, transport, vatten, livsmedel, hälsa, finans, operatörer av digital infrastruktur, tillverkningsindustri och många andra.
Våren 2024 publicerade vi en e-bok om NIS2 redo med bästa praxis enligt ISO 27001. I vår kostnadsfria e-bok guidar vi dig genom NIS2:s värld, innehållet i direktivet och ger dig praktiska tips om hur du uppnår efterlevnad. Hämta din e-bok här: cyberday.ai/ebook
.png)
EU:s medlemsstater var skyldiga att anta NIS2-direktivet i nationell lagstiftning senast den 17 oktober 2024, med implementering kort därefter. Även om många missade tidsfristen pågår framsteg och de flesta länder förväntas slutföra sin lagstiftning inom kort. Direktivet breddar de sektorer som omfattas och stärker kraven på riskhantering, incidentrapportering och cybersäkerhetsåtgärder, inklusive strängare standarder för incidentrapportering och säkerhet i leveranskedjan.
Viktiga beslut på nationell nivå omfattar fastställande av lokala myndigheter, genomförande och övervakningsdetaljer. Direktivet fastställer minimikontrollmetoder och tillåter endast tillägg på nationell nivå. Överväganden inkluderar:
NIS2 lägger stor vikt vid de offentliga myndigheternas roll för att säkerställa cybersäkerheten för kritiska tjänster och kritisk infrastruktur i EU och betonar behovet av ökat samarbete mellan offentliga myndigheter i EU:s medlemsstater.
I den nationella lagstiftningen bör det anges vilka myndigheter som ansvarar för att övervaka genomförandet av NIS2 i det berörda landet, och om övervakningen till exempel är uppdelad mellan olika myndigheter beroende på deras kompetensområden. Länderna måste utse lokala myndigheter som ska se till att NIS2-reglerna följs: detta innebär att man utser nationella tillsynsmyndigheter eller skapar nya tillsynsgrupper för sektorer som energi, hälsa och transport.
NIS2 fastställer tydliga och strikta krav för genomförande och övervakning för att säkerställa efterlevnad av både organisationer och medlemsstater. Medlemsstaterna måste tillämpa kontrollåtgärder mot nyckelaktörer som är effektiva, proportionerliga och avskräckande, samtidigt som de beaktar de särskilda omständigheterna i varje enskilt fall. Om övervakningen visar att en betydande aktör eventuellt inte följer reglerna måste myndigheterna vidta lämpliga åtgärder, inklusive, om nödvändigt, kontrollåtgärder i efterhand. Dessutom bör länderna inrätta team för att hantera och utreda cybersäkerhetsincidenter vid behov.
Enligt NIS2 bör en organisation ha väldefinierade policyer för att hantera informationssäkerhetsrisker, bedöma effektiviteten i säkerhetsåtgärderna och identifiera viktiga områden för förbättringar.
NIS2-direktivet identifierar specifikt följande områden av informationssäkerhet för vilka organisationen måste dokumentera och genomföra sina åtgärder, och organisationens ledning är ansvarig för att dessa åtgärder är tillräckliga:
Varje land måste se till att organisationerna vidtar åtgärder för att hantera risker. Dessa åtgärder innefattar att säkerställa att leveranskedjorna är säkra samt att noggrant granska riskerna.
Enligt NIS2 måste betydande incidenter rapporteras till den nationella tillsynsmyndigheten, så det är den nationella lagstiftningen som avgör när och hur incidenter ska rapporteras. NIS2 fastställer således de grundläggande standarderna, men länderna kan fastställa strängare eller mer detaljerade regler enligt sina egna behov.
På nationell nivå är det också möjligt att gå utöver NIS2-direktivets tillämpningsområde och att skapa specifikationer enligt nationella behov. Dessa avtal och åtgärder på nationell nivå kommer att säkerställa att NIS2-direktivet är anpassat till varje lands lagstiftning samtidigt som en enhetlig strategi för cybersäkerhet upprätthålls i hela EU.
Belgien har införlivat EU:s NIS2-direktiv i sin nationella lagstiftning i form av NIS2-lagen. Denna lagstiftning är nära anpassad till EU-direktivet och innehåller endast mindre nationella anpassningar. Den fastställer cybersäkerhetskrav för företag som är verksamma inom kritiska sektorer och registrerade i Belgien. Viktiga nationella åtgärder är bland annat särskilda registreringsförfaranden och bedömningar av överensstämmelse.
Kroatiens implementering av NIS2 Cybersäkerhetslagen (Zakon o kibernetičkoj sigurnosti NN 14/2024) trädde i kraft i februari 2024. Den definierar cybersäkerhetsregler för kroatiska företag med samma kriterier som NIS2 med vissa undantag, t.ex. inkludering av ytterligare sektorer, detaljerad kategorisering av enheter, definierade tidsfrister för efterlevnad och specificerade påföljder.
Finlands "Kyberturvallisuuslaki" väntar på det sista godkännandet, men kan redan användas vid genomförandet. Cybersäkerhetslagen skapar en tydlig rättslig ram för riskhantering och incidentrapportering inom informationssäkerhet i linje med NIS2-direktivet. Den nya lagen syftar till att förenhetliga Finlands nuvarande fragmenterade cybersäkerhetslagstiftning och harmonisera den med de EU-omfattande standarder som infördes genom NIS2. Den utvidgar tillämpningsområdet för riskhanterings- och rapporteringskraven och förtydligar antalet företag och offentliga institutioner som måste uppfylla dem. Cybersäkerhetslagen tar sin utgångspunkt i direktivets miniminivå och definierar huvudsakligen de punkter som motsvarar innehållet i direktivet. Cybersäkerhetslagen utökar inte tillämpningsområdet för NIS2-direktivet eller kontrollmedlen.
NIS2 har antagits som "National Cyber Security Act" i Lettland. Den förbättrar säkerheten för informations- och kommunikationsteknik, inklusive fastställande av krav för tillhandahållande och mottagande av väsentliga och viktiga tjänster och drift av informations- och kommunikationsteknik. Lagen utvidgar tillämpningsområdet till att omfatta organisationer inom både den offentliga och den privata sektorn och delar in dem i tre grupper baserat på hur kritiska de är.
Genom cybersäkerhetslagen "Kibernetinio Saugumo Įstatymas" genomförs EU:s NIS2-lag i Litauen. Lagen ställer krav på olika organisationer att stärka sin hantering av cybersäkerhetsrisker. Den litauiska lagen introducerar ett utökat tillämpningsområde, detaljerade tidsfrister för genomförandet (12 månader från införandet) och definierade tillsynsroller.
Du kan nu aktivera dina nationella lagar på Cyberday! Här hittar du den allmänna EU-versionen av NIS2-direktivet samt de nationella lagarna i de länder som omfattas av NIS2-ramverket. Aktivera den lagstiftning du vill ha med ett klick på en knapp.
Om du har några ytterligare frågor kan du kontakta vårt team via chatt eller e-post team@cyberday.ai. Vi tar också gärna emot feedback om användningen av Cyberday
.png)
