Idag, den 17 oktober 2024, skulle EU:s nya cybersäkerhetsdirektiv NIS2 ha varit infört i svensk lag. Sverige hinner inte – utredningen pekar mot att vår nya cybersäkerhetslag dröjer till 2025 – men för företagen är det här ingen anledning att luta sig tillbaka. Kraven kommer, och de är omfattande.
Vad är NIS2?
NIS2 är efterföljaren till NIS-direktivet från 2016 och breddar kraven på cybersäkerhet rejält. Fler branscher omfattas – energi, transport, sjukvård, livsmedel, avfall, digital infrastruktur, offentlig förvaltning och tillverkningsindustri med flera – och kraven gäller i regel företag med fler än 50 anställda eller över 10 miljoner euro i omsättning. Även mindre leverantörer dras in via kedjan: är du underleverantör till en NIS2-verksamhet kommer kraven i praktiken via avtalen.
De viktigaste kraven
- Systematiskt riskarbete och dokumenterade säkerhetsåtgärder
- Incidentrapportering – första varningen inom 24 timmar
- Säkerhet i leverantörskedjan
- Personligt ansvar för ledningen – styrelsen kan inte längre delegera bort cybersäkerheten
- Kännbara sanktionsavgifter, i nivå med GDPR
Mitt råd
Vänta inte på den svenska lagen. Börja med grunderna nu: inventera era system, inför multifaktorautentisering överallt, se över backuper och öva på incidenthantering. Det är ändå saker ni borde göra – NIS2 gör dem bara obligatoriska. Den som börjar idag slipper panikåtgärder när lagen väl träder i kraft.
