Publicerat: 5 juli 2024
NIS-2-direktivet är den EU-omfattande lagstiftningen om cybersäkerhet. Det syftar till att öka den övergripande cybersäkerhetsnivån i hela EU. Det är en uppdatering av EU:s tidigare cybersäkerhetsregler från 2016 och trädde i kraft 2023. NIS-direktivet (direktiv (EU) 2016/1148) gäller alltså för närvarande, och NIS-2-direktivet kommer att träda i kraft den 18 oktober 2024.
Vad innebär det och vad behöver företag göra?
NIS-2 ställer tydligare krav på riskanalyser och olika säkerhetsåtgärder för berörda verksamheter.
Fler organisationer omfattas nu, och det krävs ett systematiskt och riskbaserat informationssäkerhetsarbete enligt ISO 27000-standarden.
Vilka omfattas av NIS-2 direktivet?
NIS-2-direktivet omfattar två huvudkategorier av aktörer:
Leverantörer av samhällsviktiga tjänster (SVT):
Dessa är organisationer som tillhandahåller tjänster som är kritiska för samhällets funktion, t.ex. energiförsörjning, transport, finanssektorn och hälso- och sjukvård.
Exempel på samhällsviktiga tjänster inkluderar bland annat elnätoperatörer, flygplatser, sjukhus och vattenförsörjningsföretag.
Vissa digitala tjänster:
NIS-2 omfattar även vissa digitala tjänsteleverantörer, inklusive molntjänster, onlinemarknadsplatser och sökmotorer. Dessa tjänsteleverantörer måste uppfylla specifika krav på cybersäkerhet.
Det är viktigt att notera att NIS-2 utvidgar omfattningen jämfört med tidigare regler, vilket innebär att fler organisationer nu omfattas av direktivet.
Om du har fler frågor, behöver ytterligare information eller vill veta hur du kan förhålla dig till direktivet är du välkommen att kontakta ditt närmsta Gibonkontor. Vi finns för er.