NIS2-direktivet i Sverige – vad innebär det för ditt företag?
lästid I minuter: 2
FXA 2024-apr-19 08:32:02
Att NIS2-direktivet och informationssäkerhet har seglat upp på radarn i media och på agendan hos företag den kan knappast ha undgått någon. Och det är inte en dag för sent. För att skydda medborgarna och samhället mot störningar kommer EU:s NIS2-direktiv bli lägsta standard för informationssäkerhet i alla medlemsländer.
Även om du inte omfattas av EU:s krav eller omfattas i viss grad, är det viktigt att se över sin informationssäkerhet och sätta sig in i NIS2-direktivet. Och idag är en utmärkt dag att sätta igång!
Omfattar NIS2 din verksamhet?
EU:s NIS2-direktiv omfattar privata och offentliga aktörer inom samhällsviktiga områden som energi, sjukvård, livsmedel, vatten, avfallshantering, bankverksamhet och digital infrastruktur.
Med det sagt vore det olyckligt att se verksamheter luta sig tillbaka så snart de inser att de inte ofattas av lagen. Då missar man själva poängen med NIS2-direktivet.
Cyberhot är dessutom bara en del av problemet, eftersom en stor andel av incidenterna bottnar i misstag eller okunskap internt. Informationssäkerhet handlar därför om organisatoriska skyddsåtgärder, vilket kräver systematik, medvetenhet och utbildning, samt att medarbetarna hela tiden har säkerhetstänket i ryggraden.
Ta tag i IT-säkerheten redan nu
Så oavsett om du omfattas direkt eller indirekt av lagstiftningen är vårt heta tips att sätta igång med säkerhetsarbetet redan nu. Titta gärna på ISO 27001 som vägledning för hur du ska efterleva NIS2-direktivet.
Kraven handlar i mångt och mycket om att ha samma grundläggande förmågor på plats som i många vedertagna standarder och ramverk för informationssäkerhet.
En förutsättning för att lyckas är att lyfta frågan till ledningsnivå, det är tydligt i NIS2-direktivet att ledningspersoner är personligt ansvariga för att lagstiftningen efterlevs. Det handlar om att ta ett officiellt beslut och nå samsyn i organisationen.
Att göra en GAP-analys är ett utmärkt sätt att börja! Nästa steg blir att skapa medvetenhet och intresse för säkerhetsfrågor bland alla medarbetare i företaget.
Du behöver inte göra det ensam
Kom ihåg, ni behöver inte fixa allt själva. Det finns många företag som kan ge stöd och expertis inom informationssäkerhet på såväl teknisk som organisatorisk nivå – itm8 är ett av dem.
Våra m8:s kan hjälpa dig med handfasta råd för att uppfylla lagkraven för NIS2 samt att implementera och utveckla säkerheten i organisationen.
Vill du veta mer om NIS2 och hur din verksamhet kan stärka IT-säkerheten? Hör av dig så hjälper vi dig framåt.
Vanliga frågor om NIS2
-
Vad är NIS2?
NIS2 är ett EU-direktiv som ska höja cybersäkerheten i samhällsviktiga verksamheter. Direktivet ställer krav på bland annat riskhantering, incidentrapportering, ansvarsfördelning och systematiskt säkerhetsarbete.
-
Vilka verksamheter omfattas av NIS2?
NIS2-direktivet berör organisationer inom samhällsviktig och viktig sektor, inklusive energi, transport, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, livsmedel, kemikalier och tillverkning. I Sverige inkluderas generellt medelstora och stora företag med fler än 50 anställda eller en omsättning över 10 miljoner euro, men även mindre aktörer kan beröras beroende på kritikalitet.
-
Behöver vi arbeta med informationssäkerhet även om vi inte omfattas av NIS2?
Ja. Informationssäkerhet handlar inte bara om att följa lagkrav, utan om att skydda verksamheten, kunderna, medarbetarna och samarbetspartnerna.
Även organisationer som inte omfattas direkt av NIS2 kan drabbas av cyberangrepp, misstag eller bristande rutiner. Därför är ett strukturerat säkerhetsarbete en viktig investering oavsett lagkrav.
-
Vad händer om man inte följer NIS2?
Om en verksamhet omfattas av NIS2 men inte följer kraven kan det leda till att verksamheten granskas. Det kan leda till höga avgifter som i vissa fall uppgår till miljonbelopp.
Därför är det viktigt att ta reda på om verksamheten omfattas och vilka krav som gäller.