Vad är NIS2-direktivet?

NIS2-direktivet är en uppdatering av det ursprungliga NIS-direktivet (Network and Information Security) från EU. Direktivet syftar till att stärka cybersäkerheten inom kritiska sektorer och digitala tjänsteleverantörer i medlemsstaterna. Det innehåller krav på säkerhetsåtgärder och rapportering av allvarliga säkerhetsincidenter. Målet är att förbättra den övergripande nätverks- och informationssäkerheten inom EU.

Vilka omfattas av NIS2?

Det ursprungliga NIS-direktivet gäller organisationer inom:

Bank- och finansieringsrörelser
Digital infrastruktur
Digitala tjänsteleverantörer
Energi
Sjukvård
Transport
Vattenförsörjning

Det nya NIS2-direktivet gäller även organisationer inom:

Avfallshantering
Avloppshantering
Digitala leverantörer (sökmotorer, sociala medier, molnleverantörer m.m.)
Fjärrvärme eller fjärrkyla, vätgas
Livsmedel (bearbetning, produktion m.m.)
Offentlig förvaltning (gäller statliga myndigheter, om regioner och kommuner omfattas är bestämmer medlemsstaterna själva)
Postverksamhet
Rymdverksamhet
Tillverkningsindustrin (bilindustrin, medicintekniska produkter m.m.)

Dessutom kommer även berörda verksamheters leverantörer och underleverantörer att beröras, eftersom det nya direktivet även kommer ställa krav på säkra leveranskedjor. Berörs ditt företag? Läs på om vad du behöver göra.

Skillnaden på NIS och NIS2

NIS2-direktivet är en uppdatering av det ursprungliga NIS-direktivet. Medan båda direktiven fokuserar på cybersäkerhet, introducerar NIS2 utökade säkerhetskrav, en bredare tillämpning till fler sektorer och striktare rapporteringsförpliktelser. Syftet med NIS2 är att ytterligare förstärka EU:s övergripande nätverks- och informationssäkerhet.

Bakgrund

Bakgrunden till NIS2-direktivet är den snabbt växande digitaliseringen i EU och det ökade beroendet av digital infrastruktur, vilket har medfört nya cybersäkerhetsutmaningar. Det ursprungliga NIS-direktivet, som trädde i kraft 2016, var EU:s första försök att adressera cybersäkerhetsrisker på en gemensam nivå. Men med tiden och framväxten av nya hotlandskap, insåg EU behovet av att stärka och uppdatera riktlinjerna. Därför introducerades NIS2-direktivet för att ersätta och bygga vidare på den första ramen och adressera dessa nya utmaningar. Läs mer på regeringen.se.

Vad händer nu - när träder NIS2 ikraft?

Den 17 juni 2022 kom EU-parlamentet och Europeiska rådet överens kring hur NIS2-direktivet ska se ut. Båda dessa organ behöver nu officiellt godkänna direktivet. Om några månader förväntas parlamentet ta ställning genom en omröstning. Efter att NIS2 har blivit officiellt meddelat i EU:s tidningspublikation, kommer det att träda i kraft 20 dagar senare. Medlemsländer inom EU ges sedan mellan 18 och 24 månader för att anpassa sina lagar enligt detta direktiv.

Relaterade frågor och svar

Vad står NIS2 för?

NIS2 står för den andra versionen av “Network and Information Systems Directive”. Det är en europeisk lagstiftning som syftar till att förbättra IT-säkerheten inom viktiga tjänster och digitala tjänsteleverantörer i EU. Målet med denna direktivuppdatering är att stärka EU:s övergripande motståndskraft och förmåga att reagera på cyberhot samt att skapa en mer enhetlig nivå av cybersäkerhet inom unionen.

Vad menas med cybersäkerhet?

Cybersäkerhet avser skyddet av datorsystem, nätverk och data från digitala attacker, skador eller obehörig åtkomst. Målet är att säkerställa integritet, konfidentialitet och tillgänglighet av information. Det omfattar även åtgärder för att förhindra, upptäcka och svara på säkerhetshot.