Akademin hem
Bloggar
Vad är NIS2-direktivet? Ta del av EU:s nya lagstiftning om cybersäkerhet
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Vad är NIS2-direktivet? Ta del av EU:s nya lagstiftning om cybersäkerhet

ISO 27001 insamling
Vad är NIS2-direktivet? Ta del av EU:s nya lagstiftning om cybersäkerhet
NIS2 samling
Vad är NIS2-direktivet? Ta del av EU:s nya lagstiftning om cybersäkerhet
Cyberday blogg
Vad är NIS2-direktivet? Ta del av EU:s nya lagstiftning om cybersäkerhet

I den här bloggen får du veta mer om bakgrunden till och skälen bakom EU:s nya direktiv om nät- och informationssäkerhet 2 (NIS2). Detta är den första delen av en bloggserie i tre delar. Du får den bästa helhetsbilden av direktivet och hur din organisation bör reagera på det genom att läsa alla tre delarna.

Relaterad blogg: Del 2 - NIS2:s omfattning och huvudsakliga säkerhetskrav

Relaterad blogg: Del 3 - Få NIS2-kompatibilitet med Cyberday

Det ursprungliga NIS-direktivet och dess ersättare

Det ursprungliga direktivet om nät- och informationssäkerhet (NIS), som offentliggjordes 2016, var en viktig milstolpe för EU:s cybersäkerhet. Det blev den första EU-omfattande lagstiftningen som var inriktad på att hantera hoten mot cybersäkerheten. Det primära målet var att säkerställa en konsekvent och hög nivå av cybersäkerhet inom relevanta branscher i alla medlemsstater.

Även om direktivet lyckades förbättra cybersäkerheten, stötte det också på utmaningar under genomförandeprocessen. Dessa hinder ledde i slutändan till variationer i beredskapsnivån för cybersäkerhet bland medlemsstaterna. Det stod klart att det krävdes ytterligare insatser för att skapa ett enhetligt och motståndskraftigt cybersäkerhetslandskap i hela EU.

Som svar på utmaningarna i det ursprungliga NIS-direktivet och de ökade cyberhoten till följd av digitaliseringen och den ökande cyberbrottsligheten, ersätter EU-kommissionen NIS-direktivet. Det nya förslaget, NIS2-direktivet, syftar till att ta itu med utmaningarna i det ursprungliga NIS-direktivet genom att investera mer i följande aspekter:

  • tydligare och mer omfattande säkerhetskrav för relaterade organisationer
  • även ta hänsyn till säkerheten i leveranskedjorna
  • förenkla riktlinjerna för rapportering
  • införa mer omfattande verkställighetsmetoder

Vilka sektorer omfattade den ursprungliga versionen?

NIS-direktivet gäller två olika kategorier av organisationer: leverantörer av samhällsviktiga tjänster (OES) och leverantörer av digitala tjänster (DSP).

OES avser organisationer som tillhandahåller tjänster som definieras som kritiska för att ekonomin och samhället som helhet ska fungera. Detta inkluderar kritiska infrastruktursektorer som vatten, transport och energi, samt tjänster som hälso- och sjukvård och digital infrastruktur.

OES:s säkerhetsåtgärder, ENISA

DSP:er är organisationer som erbjuder specifika typer av digitala tjänster, främst sökmotorer online, marknadsplatser online och molntjänster.

För att kvalificera sig som en DSP måste en organisation tillhandahålla en eller flera av dessa tjänster och falla inom kategorin medelstora företag.

Det finns ett allmänt undantag för småföretag inom sektorn för digitala tjänster. Om en organisation har färre än 50 anställda och en omsättning på mindre än 10 miljoner euro betraktas den inte som en DSP och omfattas därför inte av NIS2. Om organisationen ingår i en större koncern måste de dock utvärdera personalstyrkan och omsättningen för hela koncernen.

Säkerhetsåtgärder för DSP:er, ENISA

Vi kommer att gå igenom NIS2:s omfattning och säkerhetskrav mer i detalj i de kommande inläggen i den här serien.

Relaterad blogg: Del 2 - NIS2:s omfattning och huvudsakliga säkerhetskrav

Relaterad blogg: Del 3 - Få NIS2-kompatibilitet med Cyberday

Varför misslyckades man i NIS-direktivet med att skapa en hög nivå av cybersäkerhet?

Implementering

Genomförandet av direktivet varierade mellan medlemsstaterna. Varje medlemsstat tillämpade direktivet på olika sätt, vilket ledde till inkonsekvenser mellan medlemsstaternas cybersäkerhetsnivåer. Bristen på konsekvens försvagade direktivets inverkan.

Beredskapsnivå

Olika medlemsstater hade olika beredskapsnivåer för direktivet. Vissa medlemsstater hade redan konsekventa och kraftfulla åtgärder för cybersäkerhet, medan andra hade mycket arbete kvar. Skillnaderna i utgångsläge ledde till skillnader när det gällde att uppnå en hög nivå av cybersäkerhet.

Definiera OES:er

Medlemsstaterna var tvungna att besluta vilka organisationer som skulle definieras som OES. Detta visade sig vara en svår process på grund av sektorernas komplexitet. Detta ökade dessutom skillnaderna i cybersäkerhetsnivå mellan medlemsstaterna.

Krav på rapportering

Direktivet gav medlemsstaterna alltför stor kontroll över kraven på rapportering av incidenter som rör cybersäkerhet.

Otillräcklig omfattning

En av de första reaktionerna på NIS-direktivet var att det inte omfattade alla sektorer som tillhandahåller viktiga tjänster för ekonomin och samhället.

Hur kommer NIS2 att åtgärda inkonsekvenserna?

Även om NIS-direktivet till stor del bygger på det ursprungliga NIS-direktivet kommer NIS2 att innebära stora förändringar. I NIS2-direktivet införs en uppsättning förbättrade säkerhetskrav. Möjligheten att anpassa efterlevnaden av dessa krav togs bort, eftersom det ursprungliga NIS tillät sårbarheter på grund av den överdrivna flexibiliteten. NIS2 säkerställer att det inte finns något utrymme för sådana sårbarheter, eftersom det tydligt beskriver de regler som alla måste följa.

NIS2 kräver t.ex. att följande säkerhetsteman är väl organiserade i relaterade organisationer:

- Riskhantering för informationssäkerhet

- Upptäckt, hantering och rapportering av incidenter

- Utbildning i cybersäkerhet

- Kontinuitetsplanering för verksamheten / krishantering

- Säkerhet i leveranskedjan

- Kryptering av data

Läs mer om dessa teman och omfattningen av NIS2 i den andra delen: NIS2:s omfattning och huvudsakliga säkerhetskrav

Frågor och feedback

Har du ytterligare frågor, skulle du behöva en annan hjälpartikel eller vill du ge feedback? Vänligen kontakta vårt team via cyberday eller chattrutan i det nedre högra hörnet.

Skrivet av
Matti Lindfors
1.8.2023
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet