Så påverkas svenska verksamheter av den nya cybersäkerhetslagen

Michael Spira och Michaela Örtberg höll nyligen ett seminarium i Göteborg på temat och vi har här sammanfattat vad direktivet innebär och vilka organisationer som omfattas.

Vad är syftet med NIS 2?

NIS 2-direktivet syftar till att:

• Höja den gemensamma säkerhetsnivån i EU för nätverks- och informationssystem.
• Utöka omfattningen jämfört med det tidigare direktivet – fler sektorer och fler aktörer omfattas.
• Införa skarpare krav på riskhantering, rapportering och styrning av cybersäkerhet.
• Förbättra samarbetet mellan medlemsstaternas tillsynsmyndigheter.

Vem omfattas av NIS 2?

NIS 2 gäller för både offentliga och privata aktörer som verkar inom:

• Väsentliga sektorer (t.ex. energi, transport, hälsa, dricksvatten, digital infrastruktur)
• Viktiga sektorer (t.ex. posttjänster, avfallshantering, livsmedel, tillverkning av kritiska produkter)

Vad gäller privata aktörer plockas kravet på att verksamheten ska erbjuda samhällsviktiga tjänster för att omfattas bort. I stället är det tillräckligt att ett företag är medelstort eller stort och verkar inom någon av angivna sektorer, vilket innebär en större omfattning än det tidigare direktivet.

Vad innebär NIS 2 för verksamheter?

Verksamheter som omfattas måste bland annat:

• Ha adekvata cybersäkerhetsåtgärder och rutiner.
• Rapportera allvarliga incidenter inom 24 timmar till ansvarig myndighet.
• Utse en kontaktpunkt för cybersäkerhet.
• Vara föremål för tillsyn och eventuella sanktioner vid brister.

Praktiska tips att gå igenom

• Verkar ni inom en berörd sektor?
• Uppfyller ni övriga krav för att omfattas?
• Utvärdera risk och identifiera relevanta åtgärder
• Utbilda ledning och personal
• Har ni en särskild cyberförsäkring anpassad för verksamheten?
• Anmäl verksamheten till tillämplig tillsynsmyndighet.